Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.
Что такое DNS Security и зачем это нужно
DNS (Domain Name System) — «телефонный справочник» интернета. Каждое обращение к любому сайту или сервису начинается с DNS-запроса: браузер спрашивает «какой IP у ideco.ru?» и получает ответ. Без этого был бы невозможен доступ к ресурсам по именам.
DNS Security (Protective DNS, PDNS) — это активный защитный слой, который анализирует DNS-запросы пользователей и блокирует обращения к вредоносным, фишинговым и нежелательным доменам до установления соединения. Представьте службу безопасности на сортировочном пункте: она проверяет адрес получателя ещё до того, как письмо отправлено. Если адрес значится в базе мошенников — письмо не уходит.
Как это работает
Обычный DNS-запрос проходит цепочку: клиент → DNS-резолвер → корневые серверы → IP-адрес → подключение. С Protective DNS в эту цепочку встраивается проверка:
Клиент → PDNS-резолвер → [Threat Intelligence + ML-анализ]
├─ Домен безопасен → нормальное разрешение → подключение
└─ Домен опасен → блокировка (NXDOMAIN / sinkhole / блок-страница)
Какие угрозы блокирует DNS Security
|
Угроза |
Механизм |
Что делает PDNS |
|
Фишинг |
Поддельные сайты для кражи учётных данных |
Блокирует домены-двойники до загрузки страницы |
|
Malware/Ransomware |
Загрузка вредоносного ПО с C2-серверов |
Прерывает связь заражённого устройства с C2 |
|
DNS Tunneling |
Скрытый канал передачи данных через DNS-запросы |
Обнаруживает аномальный объём и энтропию запросов |
|
DGA (Domain Generation Algorithms) |
Автогенерация тысяч доменов для обхода блок-листов |
ML-анализ энтропии и n-грамм символов |
|
Cryptojacking |
Скрытый майнинг через обращения к пулам |
Блокирует запросы к майнинговой инфраструктуре |
|
Typosquatting |
Регистрация доменов с опечатками (goog1e.com) |
Proximity scoring — измерение схожести с легитимными доменами |
По данным NSA (2020), использование Protective DNS снижает способность 92% вредоносного ПО использовать C2-каналы. Данные DNSFilter за Q1 2025 показывают, что 79% атак задействуют DNS-уровень.
Ключевые преимущества
-
Простота внедрения. Достаточно сменить DNS-резолвер — без установки агентов, без изменения сетевой топологии. Развёртывание занимает минуты, а не недели.
-
Покрытие всей сети. Каждое обращение к интернету начинается с DNS-запроса — добавление слоя DNS Security защищает все устройства, включая IoT, принтеры, камеры и промышленные контроллеры (на которые не получится установить антивирус/EDR).
-
Защита вне периметра. Облачный PDNS работает везде — дома, в кафе, в аэропорту. По данным Control D, 51% гибридных сотрудников проводят в офисе менее половины рабочего времени, а значит, файрвол (даже в случае использования VPN) защищает их менее 50% времени.
-
Раннее обнаружение. Блокировка происходит до загрузки контента — в отличие от антивирусов, которые анализируют файлы после загрузки.
Место DNS Security в тактической модели MITRE ATT&CK
|
Этап атаки |
MITRE ATT&CK |
Что делает злоумышленник |
Где DNS Security может остановить |
Примеры возможностей DNS-уровня |
|---|---|---|---|---|
|
Разведка |
Reconnaissance (TA0043) |
Разведка инфраструктуры, перебор имён, подготовка доменной/C2-базы |
Раннее выявление и блок запросов на этапе разведки и подготовки инфраструктуры |
Флаг аномальной DNS-разведки к вашим доменам; детект массовых переборов имён; выявление DGA-активности; отсечение всплесков «никогда не виденных» доменов; блокировка доменов злоумышленника по TI, pDNS, новым зарегистрированным доменам и репутации |
|
Начальный выход в инфраструктуру атакующего |
Часть Initial Access / Initial rendezvous |
Пользователь или малварь впервые выходит на домены атакующего |
Блок перехода к инфраструктуре атакующего до выполнения полезной нагрузки |
Фильтрация фишинговых и малвертайзинговых доменов, на которые ведут письма, мессенджеры, реклама; блок первого обращения малвари к C2-хосту по репутации и поведенческому анализу DNS-запросов |
|
Закрепление через C2 |
Command & Control (TA0011), в т.ч. T1071.004 DNS |
Поддержание устойчивого канала управления, периодические beacon-запросы |
Обрыв канала управления и срыв закрепления в сети |
Детект и блок DNS-туннелей и C2 по DNS (T1071.004): высокоэнтропийные поддомены, аномальный тайминг, нестандартные типы записей; разрыв «постоянного канала» для RAT / Cobalt Strike / аналогов |
|
Эксфильтрация данных |
Exfiltration (TA0010) |
Тихий вывод данных из сети через скрытые каналы |
Прекращение утечки на границе DNS |
Обнаружение закодированных потоков данных в DNS-запросах и ответах (TXT, NULL и др.); блок DNS-туннелей для эксфиля; использование поведенческих профилей и лимитов на объём/частоту аномального DNS-трафика |
|
Влияние и деструкция |
Impact (TA0040) |
Нарушение доступности, целостности и доверия к сервисам |
Снижение масштаба и последствий атак, использующих DNS |
Препятствие злоупотреблению DNS в DDoS и амплификационных атаках; предотвращение подмены делегаций и хайджека зон; блок вредоносных/поддельных NS- и MX-записей; защита пользователей от перенаправления на фишинговые/поддельные ресурсы |
DNS Security — не замена файрволу
Важно понимать: PDNS дополняет, а не заменяет NGFW, прокси и EDR. Это первый рубеж эшелонированной защиты:
Интернет
↓
[DNS Security / PDNS] ← первый рубеж: блокировка по домену
↓
[NGFW / Proxy] ← второй рубеж: блокировка по IP/URL/контенту
↓
[EDR / AV] ← третий рубеж: защита на конечном устройстве
↓
[SIEM / SOC] ← мониторинг и реагирование
Главное ограничение DNS Security — шифрованный DNS (DoH/DoT). Браузеры с включённым DNS-over-HTTPS отправляют запросы напрямую к публичным резолверам, минуя корпоративный PDNS. Как отмечает SEI CMU, злоумышленники уже используют DoH для обхода DNS-фильтрации. Меры противодействия: блокировка внешних DoH-провайдеров, принудительная настройка браузеров через GPO/MDM, использование PDNS-провайдеров с собственными DoH-эндпоинтами. В Ideco NGFW Novum, например, есть возможность блокировки DoH/DoT «одной галочкой» в настройках.
Мировой рынок: $1,6–2,0 млрд и рост на 10–14% в год
Посмотрим, насколько развит данный тип решений за рубежом, а потом перейдем к России.
Спойлер: если до 2022 года в сфере продуктов информационной безопасности Россия была «страной DLP» (существовало около 15 DLP-решений), а с 2022 года стала «страной NGFW» (более 50 компаний заявили о разработке своих решений), то в сфере DNS Security такого разнообразия пока нет.
Объём рынка и прогноз
По данным аналитических агентств, мировой рынок DNS Security в 2024–2025 годах оценивается в $1,6–2,0 млрд. Прогноз на 2030 год — $2,8–4,1 млрд при среднегодовом росте 10–14%.
Для контекста: общий рынок кибербезопасности в 2025 году составляет ~$220–230 млрд (MarketsandMarkets). DNS Security — это ~0,7–0,8% от него, но темп роста выше среднерыночного.
Ключевые драйверы интереса к продукту
-
Рост DNS-атак. По данным Forrester (2025), 95% организаций пережили DNS-связанные инциденты за последний год, средний ущерб — $1,1 млн.
-
Удалённая работа и BYOD. Периметр сети растворился — PDNS работает там, где файрвол бессилен.
-
IoT. К 2030 году — более 75 млрд подключённых устройств, и на каждое невозможно установить EDR-агент.
-
AI в руках атакующих. По данным DNSFilter, AI-трафик в сетях вырос на 69% за 2025 год; генеративный AI используется для массовой генерации фишинговых доменов. И это, видимо, только начало.
-
Регуляторное давление. CISA/NSA в США рекомендуют Protective DNS (руководство v1.3, 2025), ЕС запустил DNS4EU.
Зарубежные вендоры: кто задаёт правила
Обзор ключевых игроков
|
Вендор |
Продукт |
Год |
Модель |
Уникальная особенность |
|
Cisco |
Umbrella / Secure Access DNS Defense |
2012 |
Cloud (SaaS) |
Рекурсивный DNS + Talos TI, 800+ млрд запросов/день |
|
Palo Alto |
DNS Security (NGFW + ADNSR) |
2019 |
Hybrid |
Лидер NGFW-рынка, где DNS эффективно интегрирован в NGFW-решения. |
|
Cloudflare |
Gateway (Cloudflare One) |
2020 |
Cloud (SaaS) |
4,3 трлн DNS-запросов/день, бесплатный тир до 50 пользователей |
|
Infoblox |
Threat Defense (Universal DDI) |
2018 |
Hybrid |
DDI-контекст |
|
DNSFilter |
DNSFilter |
2015 |
Cloud (SaaS) |
Маркетинговое обещание: AI-детекция на 10 дней раньше конкурентов. 180 млрд запросов/день |
|
Fortinet |
FortiGuard DNS |
2021 |
On-premise |
Встроен в FortiGate NGFW, инспекция DoH/DoT/DoQ |
|
Webroot (OpenText) |
DNS Protection |
2017 |
Cloud (SaaS) |
Ориентация на MSP, первый DNS-фильтр с DoH + фильтрацией |
Тренды зарубежного рынка
Конвергенция с SASE/SSE. DNS Security всё активнее интегрируется в платформы Secure Access Service Edge. Cisco Umbrella стал частью Cisco Secure Access SSE, Cloudflare Gateway — частью Cloudflare One, Palo Alto DNS Security — частью Prisma Access. Gartner не выделяет отдельный Magic Quadrant для DNS Security — он входит в SSE/SASE.
AI/ML как стандарт. Все ведущие вендоры используют ML для обнаружения DGA, DNS-туннелирования и zero-day угроз. DNSFilter заявляет о выявлении 7 000+ вредоносных доменов, не обнаруженных другими фидами. Infoblox блокирует 82% угроз до первого DNS-запроса.
Специализированная аналитика. GigaOm выпускает единственный специализированный Radar по DNS Security — в 2024 году оценены 11 вендоров, лидеры — Cisco, Infoblox, EfficientIP, BlueCat. В 2025 году — уже 16 вендоров.
Эра подготовленных атак. По данным EfficientIP (март 2026), в 2025 году атакующие перешли к модели «индустриализированной подготовки»: массовая регистрация доменной инфраструктуры, длительное удержание в спящем состоянии и точечная активация. Фишинг составляет 30% вредоносного DNS-трафика, свежезарегистрированные домены — 11%, DGA — занимает меньшую, но постоянную долю в структуре DNS-угроз.
Российский рынок DNS Security
Регуляторное давление и рост угроз
Российский рынок DNS Security формируется под влиянием двух факторов: импортозамещение и взрывной рост кибератак.
Регуляторный фактор. Указы Президента РФ №250 и №214 запретили использование иностранного ПО на объектах КИИ с 01.01.2025. Компании обязаны перейти на решения из реестра российского ПО. Это создало окно возможностей для отечественных вендоров DNS Security. Впрочем, для создания этого типа решений не получится использовать OpenSource-компоненты, поэтому массово вендоры не пошли в эту историю (в отличие от NGFW).
Рост угроз. По данным совместного исследования Ideco и SkyDNS (2025), за первые 4 месяца 2025 года количество заблокированных DNS-атак выросло в 3 раза год к году — до 198 млн инцидентов. Из них 160 млн — попытки запросов к запаркованным доменам (+426% г/г).
DNS Security (SecDNS) признана самостоятельной категорией на карте российского рынка ИБ 2025 (TAdviser) наравне с NGFW, SWG и SEG.
Ключевые российские вендоры
На российском рынке три специализированных решения DNS Security:
SkyDNS (skydns.ru) — пионер и лидер рынка, на рынке с 2010 года (15+ лет). Облачный (SaaS) сервис. Обрабатывает 2+ млрд DNS-запросов в сутки. Собственный центр аналитики угроз на базе ML/AI с 2016 года, заявленная точность детектирования — 98%. В реестре российского ПО с 2016 года (№1084). SkyDNS является технологическим ядром DNS Security для Ideco NGFW (и нашим «старым» технологическим партнером).
В 2025 году продажи СкайДНС в бизнес-сегменте именно за счет security-функциональности выросли в 6,8 раз к 2024 году.
BI.ZONE Secure DNS (bi.zone) — решение дочерней структуры Сбербанка. Поддерживает три модели поставки: облачную, гибридную и on-premise. Акцент на Enterprise и КИИ. Использует AI-модель Anti-DGA и механизмы обнаружения DNS-туннелей для 20+ популярных инструментов атак (Cobalt Strike, Sliver, Metasploit и др.). Текущая версия — 1.12.0 (февраль 2026).
Solar DNS RADAR (ГК «Солар» / Ростелеком) — новый участник, запущен в сентябре 2025 года. Уникальное преимущество — телеметрия с сенсоров федерального оператора «Ростелеком» (10+ млрд DNS-запросов в сутки). В реестре российского ПО с октября 2025 (№30153).
Другие участники рынка
|
Решение |
Тип |
Особенность |
|
Яндекс DNS |
Публичный DNS |
Для физлиц, нет корпоративного управления, фильтрация только по статичной БД угроз. |
|
Kaspersky NGFW |
DNS Security в NGFW |
Модуль DNS Security в составе Kaspersky NGFW 1.0 |
|
Ideco NGFW |
DNS Security в NGFW |
Облачный модуль на базе SkyDNS (с версии Ideco NGFW Novum 21) |
|
НСДИ (национальная система доменных имен) |
Публичный DNS |
Решает проблемы доступности DNS-резолвинга в случаях отключения от международных сервисов. Не фильтрует трафик в целях безопасности. |
Прогноз развития: четыре сценария
Сценарий 1: Поглощение платформами (вероятность — высокая)
DNS Security становится встроенной функцией более крупных платформ — SASE/SSE, XDR, NGFW. Это уже происходит: Cisco Umbrella вошёл в Secure Access SSE, Palo Alto DNS Security — в Prisma Access, Cloudflare Gateway — в Cloudflare One. На российском рынке — SkyDNS интегрирован в Ideco NGFW.
Что это значит. Как самостоятельная рыночная категория DNS Security может сжаться, но как технология — станет обязательным компонентом любой платформы сетевой безопасности. Аналогия — IPS, который из отдельного продукта превратился в стандартную функцию NGFW.
Для российского рынка. Вендоры NGFW (Ideco, Kaspersky и другие) будут наращивать DNS Security-функциональность. Специализированные игроки (SkyDNS) могут развиваться как OEM-поставщики технологии для платформенных вендоров.
Сценарий 2: DNS Security как ядро AI-driven защиты (вероятность — средне-высокая)
AI трансформирует DNS Security из инструмента фильтрации в платформу раннего предупреждения. По данным EfficientIP (2026), DNS-аналитика становится ключевым источником threat intelligence — она видит подготовку атак за недели и месяцы до активации.
Атакующие тоже используют AI: по данным WEF Global Cybersecurity Outlook 2026, 87% респондентов назвали AI-уязвимости самым быстрорастущим киберриском. Мультимодельные атаки (5–8 LLM одновременно) сжимают цикл атаки с недель до часов.
Что это значит. DNS Security с продвинутым AI/ML (предиктивная аналитика, поведенческий анализ, автоматическая корреляция с TI) может вырасти в полноценную платформу DNS Detection & Response (DNS DR), аналогичную EDR/XDR, но на уровне DNS.
Для российского рынка. Преимущество у вендоров с собственными ML-моделями (SkyDNS — 15 лет развития и самая большая клиентская база в данном сегменте, BI.ZONE — интеграция с Threat Intelligence экосистемой). Вендоры с телеметрией федерального уровня (Solar DNS RADAR + Ростелеком) или множеством клиентов (включая физических лиц), как у SkyDNS, получают уникальные данные для обучения моделей.
Сценарий 3: Фрагментация по сегментам (вероятность — средняя)
Рынок разделяется на три чётких сегмента с разными требованиями:
-
Enterprise / КИИ. On-premise или гибридные решения с глубокой интеграцией в SOC/SIEM, поддержкой Zero Trust. Игроки: BI.ZONE, Solar DNS RADAR, SkyDNS.
-
Mid-market / SMB. Облачные SaaS-решения с быстрым развёртыванием, понятным интерфейсом и предсказуемым ценообразованием. Игроки: SkyDNS.
-
Встроенный OEM. DNS Security как модуль в составе NGFW/UTM. Игроки: SkyDNS (как OEM для Ideco) и зарубежные вендоры.
Универсального решения «для всех» скорее всего не будет. Каждый сегмент нуждается в своей модели поставки и ценообразования.
Сценарий 4: Encrypted DNS убивает рынок (вероятность — низкая)
DoH/DoT-by-default в браузерах и ОС делает сетевую DNS-фильтрацию неэффективной. Устройства обходят корпоративные резолверы, отправляя запросы напрямую к Google, Cloudflare или Apple.
Почему маловероятен. Вендоры уже адаптируются: собственные DoH/DoT-эндпоинты, агенты для конечных устройств, интеграция с MDM/GPO для принудительной настройки. Более того, CISA/NSA в руководстве 2025 года рекомендуют организациям контролировать исходящий DoH-трафик.
Наиболее вероятный исход
Реалистичный сценарий — комбинация первого и второго: DNS Security станет обязательным встроенным компонентом платформ сетевой безопасности (как IPS стал частью NGFW), но при этом технологическое ядро — AI-аналитика DNS-трафика — будет расти в ценности и сложности. Специализированные вендоры (SkyDNS, DNSFilter, Infoblox) сохранят нишу для организаций, которым нужен глубокий анализ DNS, а не «галочка» в чеклисте NGFW.
Для российского рынка ключевой фактор — регуляторное давление (Указы №250, №214) и рост числа атак. При 198 млн заблокированных DNS-инцидентов за 4 месяца 2025 года и тройном росте год к году — игнорировать DNS Security становится не просто рискованно, а безответственно.
Итог
DNS Security — небольшой ($1,6–2 млрд), но быстрорастущий (10–14% CAGR) сегмент кибербезопасности с непропорционально высокой эффективностью и низкой относительной ценой решения: один PDNS-сервер покрывает всю сеть, включая IoT, удалённых сотрудников и неуправляемые устройства, блокируя 92% C2-каналов малвари.
За рубежом рынок зрелый — Cisco, Palo Alto, Cloudflare, Infoblox и DNSFilter конкурируют на уровне AI-детекции и платформенной интеграции. В России рынок формируется: SkyDNS (15 лет, самостоятельный пионер и лидер), BI.ZONE Secure DNS (enterprise/КИИ) и Solar DNS RADAR (телеметрия Ростелекома) замещают ушедшие Cisco Umbrella и Fortinet DNS.
Будущее DNS Security — не отдельный продукт, а обязательный слой любой архитектуры сетевой безопасности, усиленный AI для предиктивного обнаружения угроз. Вопрос не в том, нужна ли вашей организации DNS Security. Вопрос — почему она ещё не включена.
Автор: Ideco
