Читайте нас в Telegram или Макс

Рынок защиты конечных точек уперся в скорость атаки

Рынок средств и сервисов защиты конечных точек в России, Казахстане и Узбекистане продолжает расти, но прежняя модель роста подходит к пределу.

По итогам 2025 года его объем достиг 72 млрд руб., увеличившись на 9% в сопоставимых ценах. В 2026 году аналитики N4A Analytics ожидают замедление до 5% и объем около 75 млрд руб. Среднегодовой темп роста за 2021-2026 годы оценивается в 7%.

На первый взгляд динамика остается положительной. Компании продолжают защищать рабочие станции, серверы, ноутбуки, мобильные устройства и другие точки подключения к корпоративной сети. Но рынок уже столкнулся не с временным снижением спроса, а с ограничением самой продуктовой модели. Базовая защита закрывает массовые угрозы, но плохо подходит для таргетированных APT-атак. Полнофункциональные комплексы в составе SOC дают больше возможностей, но требуют зрелых процессов, команды и бюджета, который доступен не всем организациям.

Аналитики N4A называют главным недостатком рынка поляризацию. Более 80% защищенных конечных точек закрыты базовыми EPP-конфигурациями. Еще около 20% находятся в полнофункциональных системах, встроенных в SOC-контур. Между этими вариантами остается большая зона компаний, которым простого антивирусного слоя уже недостаточно, но собственный SOC пока слишком дорог и организационно сложен.

Именно этот разрыв тормозит следующий этап развития рынка. Сместить спрос в сторону более сложных продуктов мешает не только цена лицензий. Полная стоимость владения складывается из внедрения, сопровождения, настройки сценариев, корреляции событий и найма квалифицированных специалистов по ИБ. В итоге защита конечных точек от APT фактически требует полноценного центра мониторинга информационной безопасности. Для части даже крупных компаний это становится слишком тяжелой моделью.

Проблема усиливается скоростью атак. Если раньше сложная кампания могла развиваться несколько дней, то сейчас отдельные сценарии укладываются меньше чем в час. За это время злоумышленник может пройти от первичного заражения до распространения внутри сети, уничтожения данных, компрометации резервных копий или остановки критичных приложений. Главным входом при этом часто остаются конечные точки, прежде всего автоматизированные рабочие места.

APT-атаки отличаются тем, что злоумышленник действует не вслепую, а под конкретную цель: компанию, подразделение или человека. Инструментарий при этом может быть разным. В ход идут и массовые вредоносные средства, и специально подготовленный код, и эксплуатация уязвимостей нулевого дня. Отсутствие современного защитного слоя на конечном устройстве резко упрощает задачу атакующего и удешевляет операцию. Поэтому связка антивируса и EDR остается базовым минимумом: первая линия автоматизирует защиту, вторая дает видимость того, что происходит на устройстве после подозрительного события.

Но даже хороший продукт не решает проблему, если компания реагирует слишком медленно. На практике злоумышленники часто заходят через украденные учетные данные или вредоносное вложение, а затем используют штатные инструменты операционной системы. Такая активность может долго выглядеть как обычная работа сотрудника. Риск усиливают устройства без централизованного контроля, избыточные права пользователей и отсутствие быстрых процедур изоляции. Если инцидент заметили через несколько часов, а зараженное устройство не отключили от сети, endpoint-защита превращается в источник запоздалой телеметрии.

Еще одно ограничение связано с ресурсами. Полноценные EDR-системы требуют вычислительных мощностей и стабильной инфраструктуры. На слабом оборудовании, например на дешевых тонких клиентах, такие решения могут быть слишком тяжелыми. В этих случаях компании вынуждены опираться на базовые меры, включая статически настроенные межсетевые экраны, и достраивать защиту за счет централизованного анализа телеметрии. Такой подход ближе к XDR-модели, когда решение принимает не отдельное устройство, а центральный контур, видящий больше источников данных.

На этом фоне растет интерес к сервисной модели. Заказчики все чаще хотят получать не просто продукт, а функцию защиты: мониторинг, оповещение, первичный разбор инцидента, поддержку реагирования и понятные параметры SLA. Особенно это актуально для среднего бизнеса и организаций, которым экономически трудно строить собственный SOC и держать штат профильных специалистов.

Руководитель центра компетенций Kaspersky «Софтлайн Решения» ГК Softline Евгений Подмарев уже видит устойчивый рост интереса заказчиков к сервисной модели предоставления услуг информационной безопасности: «В первую очередь это касается компаний среднего бизнеса и организаций, которым экономически нецелесообразно создавать SOC и содержать команду профильных специалистов. При этом говорить об оплате исключительно за количество отраженных атак, на мой взгляд, пока преждевременно. В информационной безопасности результат значительно шире, чем просто предотвращенные инциденты».

Именно вокруг оплаты за результат возникает главный спор. Идея выглядит привлекательной для бизнеса: компания платит не за лицензии и часы специалистов, а за защищенность. Но в ИБ результат трудно свести к числу «отраженных атак». Не всегда понятно, что считать атакой, кто подтверждает факт ее отражения, где проходит граница ответственности подрядчика и как учитывать ложные срабатывания. Если метрика выбрана неправильно, сервис легко превращается в красивый отчет, который сложно проверить после реального сбоя.

Более практичными критериями становятся время обнаружения, время изоляции зараженного устройства, качество разбора инцидента и фиксированная зона ответственности сторон. Для клиента важнее понимать, как быстро подрядчик увидит угрозу, какие действия предпримет, кто принимает решение об отключении узла и какие последствия покрывает SLA. Без этих параметров сервисная модель остается обещанием, а не управляемым процессом.

Идея оплаты за «количество отраженных атак» опасна еще и тем, что может стимулировать неправильное поведение поставщика. Если детекторы настроить слишком чувствительно, число формально отраженных угроз вырастет, но вместе с ним увеличится поток ложных срабатываний и риск блокировки легитимных бизнес-процессов. Для APT это особенно критично: конечная точка может быть только первым этапом атаки. Если злоумышленник уже закрепился в сети, устройство может выглядеть чистым, а инфраструктура оставаться скомпрометированной.

Директор по развитию ООО «Сайберлимфа» (UDV Group) Максим Хараск также отмечает, что рынок движется в сторону сервисных моделей, но формат оплаты строго за результат, например за количество успешно отраженных атак, пока выглядит сложным: «В такой модели может возникать слишком много спорных ситуаций: как считать результат, где проходит граница ответственности поставщика, какие инциденты учитывать, а какие нет. При этом сервисная модель уже востребована в другом формате. На базе наших решений оказываются услуги мониторинга, оповещения и дальнейшего реагирования, в том числе для технологических сетей передачи данных. В таком подходе заказчик получает не просто продукт, а работающий контур наблюдения и реагирования. Ключевым критерием здесь становится время реакции на атаку. Time to response (время до ответа) показывает, сколько времени требуется компании, чтобы перейти от выявления реальной угрозы к действиям по ее локализации и устранению. Для современных атак это критический показатель».

Таким образом, рынок постепенно смещается от продажи конечного продукта к продаже способности действовать. В этой модели заказчику важны не только лицензии и набор функций, а рабочая цепочка: сбор событий, анализ, приоритизация, эскалация, изоляция, восстановление и разбор причин. Чем быстрее атака, тем меньше ценность у сигнала, который никто не успел обработать.

Отдельная зона риска находится на стыке endpoint-защиты и поведенческой аналитики. Во многих атаках конечная точка становится только входом, а дальше злоумышленник действует через скомпрометированную учетную запись или легитимные инструменты. Классический EPP или EDR не всегда отличит поведение недобросовестного или скомпрометированного пользователя от обычной активности. Поэтому растет значение UBA и других механизмов, которые анализируют не только файл или процесс, но и контекст действий пользователя.

Скорость атаки зависит не только от инструментария злоумышленника, но и от зрелости самой компании. Там, где своевременно применяются обновления, закрыты старые операционные системы, настроена парольная политика, есть покрытие средствами защиты и не перегружен SOC, время развития атаки может почти не меняться. В организациях с пробелами в защите, наоборот, путь от первичного доступа до ущерба становится короче.

ИИ усиливает обе стороны. Для атакующих он упрощает генерацию кода, поиск векторов проникновения, выбор инструментов и распространение внутри сети. Для защитников LLM-модели и ИИ-агенты могут стать новым аналитическим слоем поверх EDR, SIEM, XDR и сетевого мониторинга. Их задача не в том, чтобы заменить существующие решения, а в том, чтобы быстрее связывать события, снижать ручную нагрузку на аналитиков и предлагать сценарии реагирования.

Именно с этим аналитики связывают следующий виток рынка. Без новых продуктов, автоматизации и сервисных моделей прежний рост будет упираться в потолок. Базовые EPP-конфигурации остаются необходимым массовым слоем, но не закрывают целевые атаки. Полноценные SOC-контуры эффективнее, но слишком дороги и сложны для широкого рынка. Между ними должна появиться промежуточная модель: более доступная, автоматизированная и измеряемая не количеством купленных лицензий, а скоростью реакции.

Для заказчика главный практический ориентир меняется. Проверять нужно не только наличие антивируса, EDR или SOC, а весь путь от атаки до действия. Как быстро компания видит реальную угрозу? Кто подтверждает инцидент? Как изолируется конечная точка? Какие системы видят дальнейшее движение по сети? Кто отвечает за восстановление и разбор причин? Пока ответы на эти вопросы не описаны и не проверены, защита конечных точек остается формальным слоем, который может не успеть за атакой.