Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.
Что такое DNS Security и зачем это нужно
DNS (Domain Name System) — «телефонный справочник» интернета. Каждое обращение к любому сайту или сервису начинается с DNS-запроса: браузер спрашивает «какой IP у ideco.ru?» и получает ответ. Без этого был бы невозможен доступ к ресурсам по именам.
DNS Security (Protective DNS, PDNS) — это активный защитный слой, который анализирует DNS-запросы пользователей и блокирует обращения к вредоносным, фишинговым и нежелательным доменам до установления соединения. Представьте службу безопасности на сортировочном пункте: она проверяет адрес получателя ещё до того, как письмо отправлено. Если адрес значится в базе мошенников — письмо не уходит.
Как это работает
Обычный DNS-запрос проходит цепочку: клиент → DNS-резолвер → корневые серверы → IP-адрес → подключение. С Protective DNS в эту цепочку встраивается проверка:
Клиент → PDNS-резолвер → [Threat Intelligence + ML-анализ]
├─ Домен безопасен → нормальное разрешение → подключение
└─ Домен опасен → блокировка (NXDOMAIN / sinkhole / блок-страница)
Какие угрозы блокирует DNS Security
Угроза | Механизм | Что делает PDNS |
Фишинг | Поддельные сайты для кражи учётных данных | Блокирует домены-двойники до загрузки страницы |
Malware/Ransomware | Загрузка вредоносного ПО с C2-серверов | Прерывает связь заражённого устройства с C2 |
DNS Tunneling | Скрытый канал передачи данных через DNS-запросы | Обнаруживает аномальный объём и энтропию запросов |
DGA (Domain Generation Algorithms) | Автогенерация тысяч доменов для обхода блок-листов | ML-анализ энтропии и n-грамм символов |
Cryptojacking | Скрытый майнинг через обращения к пулам | Блокирует запросы к майнинговой инфраструктуре |
Typosquatting | Регистрация доменов с опечатками (goog1e.com) | Proximity scoring — измерение схожести с легитимными доменами |
По данным NSA (2020), использование Protective DNS снижает способность 92% вредоносного ПО использовать C2-каналы. Данные DNSFilter за Q1 2025 показывают, что 79% атак задействуют DNS-уровень.
Ключевые преимущества
Простота внедрения. Достаточно сменить DNS-резолвер — без установки агентов, без изменения сетевой топологии. Развёртывание занимает минуты, а не недели.
Покрытие всей сети. Каждое обращение к интернету начинается с DNS-запроса — добавление слоя DNS Security защищает все устройства, включая IoT, принтеры, камеры и промышленные контроллеры (на которые не получится установить антивирус/EDR).
Защита вне периметра. Облачный PDNS работает везде — дома, в кафе, в аэропорту. По данным Control D, 51% гибридных сотрудников проводят в офисе менее половины рабочего времени, а значит, файрвол (даже в случае использования VPN) защищает их менее 50% времени.
Раннее обнаружение. Блокировка происходит до загрузки контента — в отличие от антивирусов, которые анализируют файлы после загрузки.
Место DNS Security в тактической модели MITRE ATT&CK
Этап атаки | MITRE ATT&CK | Что делает злоумышленник | Где DNS Security может остановить | Примеры возможностей DNS-уровня |
|---|---|---|---|---|
Разведка | Reconnaissance (TA0043) | Разведка инфраструктуры, перебор имён, подготовка доменной/C2-базы | Раннее выявление и блок запросов на этапе разведки и подготовки инфраструктуры | Флаг аномальной DNS-разведки к вашим доменам; детект массовых переборов имён; выявление DGA-активности; отсечение всплесков «никогда не виденных» доменов; блокировка доменов злоумышленника по TI, pDNS, новым зарегистрированным доменам и репутации |
Начальный выход в инфраструктуру атакующего | Часть Initial Access / Initial rendezvous | Пользователь или малварь впервые выходит на домены атакующего | Блок перехода к инфраструктуре атакующего до выполнения полезной нагрузки | Фильтрация фишинговых и малвертайзинговых доменов, на которые ведут письма, мессенджеры, реклама; блок первого обращения малвари к C2-хосту по репутации и поведенческому анализу DNS-запросов |
Закрепление через C2 | Command & Control (TA0011), в т.ч. T1071.004 DNS | Поддержание устойчивого канала управления, периодические beacon-запросы | Обрыв канала управления и срыв закрепления в сети | Детект и блок DNS-туннелей и C2 по DNS (T1071.004): высокоэнтропийные поддомены, аномальный тайминг, нестандартные типы записей; разрыв «постоянного канала» для RAT / Cobalt Strike / аналогов |
Эксфильтрация данных | Exfiltration (TA0010) | Тихий вывод данных из сети через скрытые каналы | Прекращение утечки на границе DNS | Обнаружение закодированных потоков данных в DNS-запросах и ответах (TXT, NULL и др.); блок DNS-туннелей для эксфиля; использование поведенческих профилей и лимитов на объём/частоту аномального DNS-трафика |
Влияние и деструкция | Impact (TA0040) | Нарушение доступности, целостности и доверия к сервисам | Снижение масштаба и последствий атак, использующих DNS | Препятствие злоупотреблению DNS в DDoS и амплификационных атаках; предотвращение подмены делегаций и хайджека зон; блок вредоносных/поддельных NS- и MX-записей; защита пользователей от перенаправления на фишинговые/поддельные ресурсы |
DNS Security — не замена файрволу
Важно понимать: PDNS дополняет, а не заменяет NGFW, прокси и EDR. Это первый рубеж эшелонированной защиты:
Интернет
↓
[DNS Security / PDNS] ← первый рубеж: блокировка по домену
↓
[NGFW / Proxy] ← второй рубеж: блокировка по IP/URL/контенту
↓
[EDR / AV] ← третий рубеж: защита на конечном устройстве
↓
[SIEM / SOC] ← мониторинг и реагирование
Главное ограничение DNS Security — шифрованный DNS (DoH/DoT). Браузеры с включённым DNS-over-HTTPS отправляют запросы напрямую к публичным резолверам, минуя корпоративный PDNS. Как отмечает SEI CMU, злоумышленники уже используют DoH для обхода DNS-фильтрации. Меры противодействия: блокировка внешних DoH-провайдеров, принудительная настройка браузеров через GPO/MDM, использование PDNS-провайдеров с собственными DoH-эндпоинтами. В Ideco NGFW Novum, например, есть возможность блокировки DoH/DoT «одной галочкой» в настройках.
Мировой рынок: $1,6–2,0 млрд и рост на 10–14% в год
Посмотрим, насколько развит данный тип решений за рубежом, а потом перейдем к России.
Спойлер: если до 2022 года в сфере продуктов информационной безопасности Россия была «страной DLP» (существовало около 15 DLP-решений), а с 2022 года стала «страной NGFW» (более 50 компаний заявили о разработке своих решений), то в сфере DNS Security такого разнообразия пока нет.
Объём рынка и прогноз
По данным аналитических агентств, мировой рынок DNS Security в 2024–2025 годах оценивается в $1,6–2,0 млрд. Прогноз на 2030 год — $2,8–4,1 млрд при среднегодовом росте 10–14%.
Для контекста: общий рынок кибербезопасности в 2025 году составляет ~$220–230 млрд (MarketsandMarkets). DNS Security — это ~0,7–0,8% от него, но темп роста выше среднерыночного.
Ключевые драйверы интереса к продукту
Рост DNS-атак. По данным Forrester (2025), 95% организаций пережили DNS-связанные инциденты за последний год, средний ущерб — $1,1 млн.
Удалённая работа и BYOD. Периметр сети растворился — PDNS работает там, где файрвол бессилен.
IoT. К 2030 году — более 75 млрд подключённых устройств, и на каждое невозможно установить EDR-агент.
AI в руках атакующих. По данным DNSFilter, AI-трафик в сетях вырос на 69% за 2025 год; генеративный AI используется для массовой генерации фишинговых доменов. И это, видимо, только начало.
Регуляторное давление. CISA/NSA в США рекомендуют Protective DNS (руководство v1.3, 2025), ЕС запустил DNS4EU.
Зарубежные вендоры: кто задаёт правила
Обзор ключевых игроков
Вендор | Продукт | Год | Модель | Уникальная особенность |
Cisco | Umbrella / Secure Access DNS Defense | 2012 | Cloud (SaaS) | Рекурсивный DNS + Talos TI, 800+ млрд запросов/день |
Palo Alto | DNS Security (NGFW + ADNSR) | 2019 | Hybrid | Лидер NGFW-рынка, где DNS эффективно интегрирован в NGFW-решения. |
Cloudflare | Gateway (Cloudflare One) | 2020 | Cloud (SaaS) | 4,3 трлн DNS-запросов/день, бесплатный тир до 50 пользователей |
Infoblox | Threat Defense (Universal DDI) | 2018 | Hybrid | DDI-контекст |
DNSFilter | DNSFilter | 2015 | Cloud (SaaS) | Маркетинговое обещание: AI-детекция на 10 дней раньше конкурентов. 180 млрд запросов/день |
Fortinet | FortiGuard DNS | 2021 | On-premise | Встроен в FortiGate NGFW, инспекция DoH/DoT/DoQ |
Webroot (OpenText) | DNS Protection | 2017 | Cloud (SaaS) | Ориентация на MSP, первый DNS-фильтр с DoH + фильтрацией |
Тренды зарубежного рынка
Конвергенция с SASE/SSE. DNS Security всё активнее интегрируется в платформы Secure Access Service Edge. Cisco Umbrella стал частью Cisco Secure Access SSE, Cloudflare Gateway — частью Cloudflare One, Palo Alto DNS Security — частью Prisma Access. Gartner не выделяет отдельный Magic Quadrant для DNS Security — он входит в SSE/SASE.
AI/ML как стандарт. Все ведущие вендоры используют ML для обнаружения DGA, DNS-туннелирования и zero-day угроз. DNSFilter заявляет о выявлении 7 000+ вредоносных доменов, не обнаруженных другими фидами. Infoblox блокирует 82% угроз до первого DNS-запроса.
Специализированная аналитика. GigaOm выпускает единственный специализированный Radar по DNS Security — в 2024 году оценены 11 вендоров, лидеры — Cisco, Infoblox, EfficientIP, BlueCat. В 2025 году — уже 16 вендоров.
Эра подготовленных атак. По данным EfficientIP (март 2026), в 2025 году атакующие перешли к модели «индустриализированной подготовки»: массовая регистрация доменной инфраструктуры, длительное удержание в спящем состоянии и точечная активация. Фишинг составляет 30% вредоносного DNS-трафика, свежезарегистрированные домены — 11%, DGA — занимает меньшую, но постоянную долю в структуре DNS-угроз.
Российский рынок DNS Security
Регуляторное давление и рост угроз
Российский рынок DNS Security формируется под влиянием двух факторов: импортозамещение и взрывной рост кибератак.
Регуляторный фактор. Указы Президента РФ №250 и №214 запретили использование иностранного ПО на объектах КИИ с 01.01.2025. Компании обязаны перейти на решения из реестра российского ПО. Это создало окно возможностей для отечественных вендоров DNS Security. Впрочем, для создания этого типа решений не получится использовать OpenSource-компоненты, поэтому массово вендоры не пошли в эту историю (в отличие от NGFW).
Рост угроз. По данным совместного исследования Ideco и SkyDNS (2025), за первые 4 месяца 2025 года количество заблокированных DNS-атак выросло в 3 раза год к году — до 198 млн инцидентов. Из них 160 млн — попытки запросов к запаркованным доменам (+426% г/г).
DNS Security (SecDNS) признана самостоятельной категорией на карте российского рынка ИБ 2025 (TAdviser) наравне с NGFW, SWG и SEG.
Ключевые российские вендоры
На российском рынке три специализированных решения DNS Security:
SkyDNS (skydns.ru) — пионер и лидер рынка, на рынке с 2010 года (15+ лет). Облачный (SaaS) сервис. Обрабатывает 2+ млрд DNS-запросов в сутки. Собственный центр аналитики угроз на базе ML/AI с 2016 года, заявленная точность детектирования — 98%. В реестре российского ПО с 2016 года (№1084). SkyDNS является технологическим ядром DNS Security для Ideco NGFW (и нашим «старым» технологическим партнером).
В 2025 году продажи СкайДНС в бизнес-сегменте именно за счет security-функциональности выросли в 6,8 раз к 2024 году.
BI.ZONE Secure DNS (bi.zone) — решение дочерней структуры Сбербанка. Поддерживает три модели поставки: облачную, гибридную и on-premise. Акцент на Enterprise и КИИ. Использует AI-модель Anti-DGA и механизмы обнаружения DNS-туннелей для 20+ популярных инструментов атак (Cobalt Strike, Sliver, Metasploit и др.). Текущая версия — 1.12.0 (февраль 2026).
Solar DNS RADAR (ГК «Солар» / Ростелеком) — новый участник, запущен в сентябре 2025 года. Уникальное преимущество — телеметрия с сенсоров федерального оператора «Ростелеком» (10+ млрд DNS-запросов в сутки). В реестре российского ПО с октября 2025 (№30153).
Другие участники рынка
Решение | Тип | Особенность |
Яндекс DNS | Публичный DNS | Для физлиц, нет корпоративного управления, фильтрация только по статичной БД угроз. |
Kaspersky NGFW | DNS Security в NGFW | Модуль DNS Security в составе Kaspersky NGFW 1.0 |
Ideco NGFW | DNS Security в NGFW | Облачный модуль на базе SkyDNS (с версии Ideco NGFW Novum 21) |
НСДИ (национальная система доменных имен) | Публичный DNS | Решает проблемы доступности DNS-резолвинга в случаях отключения от международных сервисов. Не фильтрует трафик в целях безопасности. |
Прогноз развития: четыре сценария
Сценарий 1: Поглощение платформами (вероятность — высокая)
DNS Security становится встроенной функцией более крупных платформ — SASE/SSE, XDR, NGFW. Это уже происходит: Cisco Umbrella вошёл в Secure Access SSE, Palo Alto DNS Security — в Prisma Access, Cloudflare Gateway — в Cloudflare One. На российском рынке — SkyDNS интегрирован в Ideco NGFW.
Что это значит. Как самостоятельная рыночная категория DNS Security может сжаться, но как технология — станет обязательным компонентом любой платформы сетевой безопасности. Аналогия — IPS, который из отдельного продукта превратился в стандартную функцию NGFW.
Для российского рынка. Вендоры NGFW (Ideco, Kaspersky и другие) будут наращивать DNS Security-функциональность. Специализированные игроки (SkyDNS) могут развиваться как OEM-поставщики технологии для платформенных вендоров.
Сценарий 2: DNS Security как ядро AI-driven защиты (вероятность — средне-высокая)
AI трансформирует DNS Security из инструмента фильтрации в платформу раннего предупреждения. По данным EfficientIP (2026), DNS-аналитика становится ключевым источником threat intelligence — она видит подготовку атак за недели и месяцы до активации.
Атакующие тоже используют AI: по данным WEF Global Cybersecurity Outlook 2026, 87% респондентов назвали AI-уязвимости самым быстрорастущим киберриском. Мультимодельные атаки (5–8 LLM одновременно) сжимают цикл атаки с недель до часов.
Что это значит. DNS Security с продвинутым AI/ML (предиктивная аналитика, поведенческий анализ, автоматическая корреляция с TI) может вырасти в полноценную платформу DNS Detection & Response (DNS DR), аналогичную EDR/XDR, но на уровне DNS.
Для российского рынка. Преимущество у вендоров с собственными ML-моделями (SkyDNS — 15 лет развития и самая большая клиентская база в данном сегменте, BI.ZONE — интеграция с Threat Intelligence экосистемой). Вендоры с телеметрией федерального уровня (Solar DNS RADAR + Ростелеком) или множеством клиентов (включая физических лиц), как у SkyDNS, получают уникальные данные для обучения моделей.
Сценарий 3: Фрагментация по сегментам (вероятность — средняя)
Рынок разделяется на три чётких сегмента с разными требованиями:
Enterprise / КИИ. On-premise или гибридные решения с глубокой интеграцией в SOC/SIEM, поддержкой Zero Trust. Игроки: BI.ZONE, Solar DNS RADAR, SkyDNS.
Mid-market / SMB. Облачные SaaS-решения с быстрым развёртыванием, понятным интерфейсом и предсказуемым ценообразованием. Игроки: SkyDNS.
Встроенный OEM. DNS Security как модуль в составе NGFW/UTM. Игроки: SkyDNS (как OEM для Ideco) и зарубежные вендоры.
Универсального решения «для всех» скорее всего не будет. Каждый сегмент нуждается в своей модели поставки и ценообразования.
Сценарий 4: Encrypted DNS убивает рынок (вероятность — низкая)
DoH/DoT-by-default в браузерах и ОС делает сетевую DNS-фильтрацию неэффективной. Устройства обходят корпоративные резолверы, отправляя запросы напрямую к Google, Cloudflare или Apple.
Почему маловероятен. Вендоры уже адаптируются: собственные DoH/DoT-эндпоинты, агенты для конечных устройств, интеграция с MDM/GPO для принудительной настройки. Более того, CISA/NSA в руководстве 2025 года рекомендуют организациям контролировать исходящий DoH-трафик.
Наиболее вероятный исход
Реалистичный сценарий — комбинация первого и второго: DNS Security станет обязательным встроенным компонентом платформ сетевой безопасности (как IPS стал частью NGFW), но при этом технологическое ядро — AI-аналитика DNS-трафика — будет расти в ценности и сложности. Специализированные вендоры (SkyDNS, DNSFilter, Infoblox) сохранят нишу для организаций, которым нужен глубокий анализ DNS, а не «галочка» в чеклисте NGFW.
Для российского рынка ключевой фактор — регуляторное давление (Указы №250, №214) и рост числа атак. При 198 млн заблокированных DNS-инцидентов за 4 месяца 2025 года и тройном росте год к году — игнорировать DNS Security становится не просто рискованно, а безответственно.
Итог
DNS Security — небольшой ($1,6–2 млрд), но быстрорастущий (10–14% CAGR) сегмент кибербезопасности с непропорционально высокой эффективностью и низкой относительной ценой решения: один PDNS-сервер покрывает всю сеть, включая IoT, удалённых сотрудников и неуправляемые устройства, блокируя 92% C2-каналов малвари.
За рубежом рынок зрелый — Cisco, Palo Alto, Cloudflare, Infoblox и DNSFilter конкурируют на уровне AI-детекции и платформенной интеграции. В России рынок формируется: SkyDNS (15 лет, самостоятельный пионер и лидер), BI.ZONE Secure DNS (enterprise/КИИ) и Solar DNS RADAR (телеметрия Ростелекома) замещают ушедшие Cisco Umbrella и Fortinet DNS.
Будущее DNS Security — не отдельный продукт, а обязательный слой любой архитектуры сетевой безопасности, усиленный AI для предиктивного обнаружения угроз. Вопрос не в том, нужна ли вашей организации DNS Security. Вопрос — почему она ещё не включена.
