Точка роста: защита веб-приложений один из немногих ИБ-сегментов, чей рынок вырос по итогам 2025 года

На фоне разнонаправленной динамики выручки у ИБ-вендоров разработчики Web Application Firewall показывают однозначный рост по итогам 2025 года, это следует из анализа рейтинга крупнейших ИБ-компаний по выручке за 2025 год, составленного SecPost. Например, у Positive Technologies отгрузки WAF (судя по отчетности компании) по итогам 2025 года увеличились на 6% год к году до 2,8 млрд руб, выручка другого поставщика WAF, компании UserGate, выросла на 30%, а чистая прибыль на 17% до 5,1 млрд руб., у «Вебмониторэкс» (бренд WMX) выручка увеличилась на 216% до 1,8 млрд руб., чистая прибыль на 370% до 1,35 млрд руб., а у SolidSoft на 25% до 1,5 млрд руб., правда, чистая прибыль незначительно сократилась, до 515 млн руб.

Как рассказала SecPost генеральный директор WMX Анастасия Афонина, рынок WAF в России находится в фазе активного роста по ряду причин. Во-первых, продолжается массовая цифровизация бизнеса, а новые веб-приложения, облачные платформы и API-ориентированные сервисы требуют специализированных механизмов защиты. 

«Спрос на WAF растет даже в тех отраслях экономики, которые традиционно ориентировались на оффлайн, например, резкий рост интереса к WAF мы увидели у промышленных и производственных предприятий», — сказала Афонина.

Кроме того, по ее словам, ландшафт киберугроз тоже способствует росту рынка решений для защиты веба: атаки в разы ускоряются из-за массового внедрения ИИ. «Киберпреступники активно используют ИИ-агенты, которые находят уязвимости за секунды. И почти нет шансов, что брешь в недавно опубликованном веб-приложении останется незамеченной, поэтому WAF, который защищает от Zero day, необходим для устойчивости бизнеса», — добавила она.

Кроме того, в финансовом секторе, госсекторе, в области телекома регуляторные требования к ИБ становятся жестче: наличие WAF уже рассматривается как необходимый стандарт соответствия. Например, обязательное использование сертифицированного WAF для ряда организаций определяется 117 приказом ФСТЭК.

Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности», при этом допускает, что нынешняя популярность продукта может быть обусловлена рядом успешных проектов по защите приложений. За счет этого вендоры, реализовавшие эти проекты, расширяют свою активность и, соответственно, находят все больший отклик у отечественных компаний.

Сейчас веб-приложения без преувеличения могут быть единственным форматом работы информационной системы организации, считает менеджер по развитию UserGate WAF Виталий Абрамович.

«Вследствие этого, защита этого типа информационных систем становиться особенно важной: увеличивается спрос как на продукты, так и на услуги внедрения и обучения специалистов», — подчеркнул специалист.

В компании BI.ZONE назвали веб-приложения одним из основных источников утечек персональных и корпоративных данных. Во многом это связано с тем, что современные решения строятся на популярных фреймворках и системах управления контентом (CMS), в которых регулярно выявляются уязвимости. Как следствие, обновления и патчи выходят часто, объяснил SecPost Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

«Бизнес не всегда может оперативно их внедрять: обновление библиотек затрагивает архитектуру и бизнес-логику приложений, требует доработки кода, а обратная совместимость поддерживается не во всех случаях», — подчеркнул он.

В результате компании ищут способы снизить риски без вмешательства в само приложение. В этих условиях решения класса WAF становится практичным инструментом защиты: они позволяют оперативно закрывать уязвимости и фильтровать типовые веб-атаки, заявил Царев.

В подтверждение тезиса о частых атаках именно на веб-приложения: за последний год 69% компаний столкнулись с атаками на них, причем у 35% они происходят еженедельно или ежедневно. Такие цифры приводит аналитик центра стратегических исследований «Гарда» Валерий Родин. 

Схожие данные и у Егора Норкина, архитектора ИБ компании «Кросс технолоджис». По его словам, сегодня веб-сервисы и приложения стали одним из главных  инструментов продаж: через них бизнес получает деньги и общается с клиентами. 

«Хакеры это понимают, поэтому число атак на сайты постоянно растет: в 2025 году с ними столкнулись уже 70% компаний. WAF взял на себя роль страховки для бизнеса, отбросив статус просто одного из инструментов IT», — уверен он. 

Большая часть веб-атак связана с попытками автоматизированных ботов найти уязвимости в веб-приложениях. Например, Solar WAF ранее отчитался, что в первом квартале 2026 года ежедневно блокировал 450–470 тысяч подобных активностей.

Мы догнали иностранные аналоги?

До февраля 2022 года преимуществом на российском рынке WAF владели зарубежные игроки, однако по итогам 2022-го совокупная выручка российских поставщиков решений этого класса уже выросла на 147%. Конкуренция побудила отечественных разработчиков межсетевых экранов для веб-приложений к улучшению своих продуктов, также на рынке стали появляться новые российские игроки и сильные решения. Об этом со ссылкой на МТС RED писало в феврале 2024 года издание CNews.

По словам Коростелева, на сегодняшний день на российском рынке WAF есть «определенное количество зрелых решений». Нельзя сказать, что они в чем-то уступают зарубежным аналогам, ведь в России давно сложилась хорошая школа в рамках данной технологии, утверждает собеседник SecPost. При этом он отмечает, что конкуренция в этом сегменте высокая, «поэтому порой сложно вытеснить иностранные решения, которые зарекомендовали себя на рынке чуть раньше».

Афонина говорит, что отечественные ИБ-продукты, в том числе WAF, обладают высоким качеством детектирования угрозы и блокировки кибератак: здесь они ничем не уступают зарубежным аналогам. «Но в России остается проблема с удобством эксплуатации, часто продукты оказываются достаточно сложными и непонятными с точки зрения пользовательского опыта», — уточняет она.

Еще одна проблема, по словам гендиректора WMX, – это вендорлок, то есть невозможность совместить решения разных поставщиков в рамках одной инфраструктуры. 

Некоторые отечественные решения уже могут конкурировать в защите веб-приложений, уверен Абрамович. При этом он обращает внимание, что зарубежные WAF давно включают в себя несколько продуктов: это и традиционный WAF, и мощные балансировщики, и защита API. «У отечественных производителей, это, как правило, 3 разных продукта, что не плохо и не хорошо, а особенность разработки», — добавил он.

Российские WAF сегодня успешно закрывают стандартные векторы атак, но продолжают бороться с «болезнями роста»: избыточными ложными срабатываниями и нехваткой гибкости при защите сложной бизнес-логики, заявил Норкин. Для достижения технологического паритета с мировыми лидерами в части глубокой поведенческой аналитики и устойчивости, по его оценке, потребуется еще 2–3 года. 

«В то же время западные вендоры всё активнее внедряют ИИ-компоненты, однако реальная полезность этого «интеллектуального щита» пока под вопросом: на фоне непредсказуемой эволюции ИИ-атак неясно, станет ли такая защита реальным барьером или превратится в дорогостоящую гонку «черных ящиков», — рассказал Норкин.

Рынок WAF продолжит рост

Рынок будет расти на 20-25%, продолжает Норкин. Он связывает это с увеличением интенсивности и масштаба хакерских атак на веб-ресурсы и приложения. «Скорее всего, объем рынка WAF пробьет отметку в 10 млрд рублей в конце 2026 года, при условии отсутствия дополнительных факторов давления на интернет», — резюмировал он.

Это сопоставимые цифры роста, если анализировать итоги 2025 года. По словам Родина, в 2025-м объем рынка среди вендоров WAF (без учета сервисов) составил 5,5 млрд рублей, прирост относительно 2024 года составил 22%.

По оценке специалистов BI.ZONE, рынок WAF растет примерно на 20% год к году. Такой темп во многом связан с тем, что бизнес все сильнее уходит в веб, API и мобильные приложения, а атаки смещаются на уровень приложений. 

«Дополнительным драйвером могла стать волна DDoS-атак в 2025 году, которая заставила многие компании пересмотреть подход к защите веб-ресурсов», — сказал Царев.

Если мы говорим о формате on-premise решений, то объем рынка составляет 7,5 — 8 млрд рублей, а если оценивать поставщиков услуг, то это ещё плюс 40—50% к указанной стоимости, дает оценку Абрамович. Цифру в 10 млрд называет Коростелев.

Афонина прогнозирует для своей компании рост выручки в среднем на 15-17% по итогам 2026 года.