Ozon приступил к разработке собственного WAF

29 апреля, 2026, 14:00

Ozon начал разработку собственного WAF и расширяет команду под этот проект, как следует из вакансии компании. В компании пояснили, что ранее использовали готовые решения, а теперь развивают внутреннюю экспертизу для более точного выявления сложных атак.

Сайт компании Ozon | corp.ozon.ru/media
Сайт компании Ozon | corp.ozon.ru/media

Ozon начал разработку собственного межсетевого экрана для веб-приложений (WAF), как указывается в вакансии компании, опубликованной на HeadHunter 6 апреля, сообщает Forbes. Под этот проект расширяется внутренняя команда.

Речь идет не о запуске отдельного продукта для рынка, а о развитии собственной экспертизы внутри компании, заявили SecPost в Ozon. По словам представителя организации, Ozon уже несколько лет использует решения класса WAF (Web Application Firewall) для защиты собственных веб-приложений от атак на уровне пользовательских сервисов. «Именно туда чаще всего направлены попытки автоматизированного взлома, ботовой активности и эксплуатации уязвимостей. Для крупной технологической компании это ключевой элемент защиты, поскольку речь идет не только о стабильности платформы, но и о безопасности пользовательских данных», — говорит он.

Как сообщается, основная задача — точнее выявлять сложные сценарии атак и быстрее адаптировать правила защиты под меняющийся ландшафт угроз.

По оценкам экспертов, разработка WAF корпоративного уровня для инфраструктуры масштаба Ozon может занять от года до нескольких лет. Начальная разработка силами 5–10 специалистов оценивается примерно в 100 млн рублей, а полные инвестиции — от нескольких сотен миллионов до полумиллиарда рублей. При этом в качестве возможной основы называется открытый код ModSecurity.

В отрасли отмечают, что российские вендоры не заинтересованы в создании аналогичного продукта под одного клиента, а готовые коммерческие решения могут обходиться маркетплейсам в десятки миллионов рублей в месяц. Кроме того, после ухода иностранных вендоров (Imperva, F5, Fortinet) их системы официально недоступны на российском рынке.

Ранее SecPost писал о том, что Ozon в своем годовом отчете за 2024 год сообщил о внедрении принципов «безопасности по умолчанию» и программы Bug Bounty для защиты данных. Компания заявила, что за год заблокировала 22,3 тыс. фишинговых сайтов, пресекла 26 тыс. случаев мошенничества и не зафиксировала утечек персональных данных.

Крупнейшие ИБ-компании России. Рейтинг SecPost и оценки динамики рынка
Словарь: Сервисы защиты веб-приложений (WAF), Firewall, Bug Bounty
Теги:
Поставщики и продукты Проекты

Читайте также