Атак больше, а анти‑DDoS покупают меньше. В чем парадокс
Атак больше, а анти‑DDoS покупают меньше. В чем парадокс
Странная картина: атак на сайты и сервисы становится больше, а бюджетов на анти‑DDoS — меньше. По данным отраслевого отчета, в 2023 году средняя стоимость услуги защиты от DDoS в закупках была около 4,383 млн рублей, в 2024-м — 3,308 млн, а в первом полугодии 2025-го — уже 2,219 млн. При этом сами атаки не ушли на каникулы: только за третий квартал 2025 года зафиксировано свыше 709 тысяч эпизодов, и львиная доля пришлась на прикладной уровень L7, где бьют уже не по каналам, а по логике веб‑приложений.
Почему так случилось
Психологический иммунитет. Бизнес привыкает к негативному фону: новости про ботнеты, рекордные пики трафика и «падения» слышны каждый месяц. Через какое‑то время внимание тупеет — и решения откладываются до первого инцидента.
Реактивная защита. Многие компании покупают анти‑DDoS «после пожара» и ровно на срок, пока утихают волны. Это дешевле здесь и сейчас, но дороже, когда атака сбивает продажи в разгар сезона.
Оптимизация расходов. На бумаге можно урезать тариф или сократить покрытие. На практике — это более длинные простои и незакрытые L7‑сценарии вроде медленных запросов, имитации корзины или шторма по поиску.
А индустрия не согласна
Участники рынка утверждают, что фактическое потребление защитных сервисов не падает, а местами даже растет. Объяснение простое: компании переходят на более гибкие пакеты, комбинируют фильтрацию трафика с веб‑фаерволами (WAF) и антибот‑решениями, а закупки разбивают на несколько меньших контрактов — статистика при этом выглядит как «снижение».
L7 — где больнее всего
В атаках прикладного уровня злоумышленники копируют действия обычного пользователя: открывают карточки товаров, строят сложные фильтры, бьют по поиску и оплате. Внешне всё «легально», но серверы задыхаются. В итоге страдают магазины в распродажи, сервисы доставки в вечерний час пик, образовательные платформы перед экзаменами. Классические фильтры по объему трафика тут мало помогают — нужна поведенческая аналитика и быстрая корреляция событий.
Как действовать бизнесу
- Меряйте простоями, а не мегабитами. В договорах фиксируйте целевые RTO/RPO и максимальное время деградации. Пусть SLA говорит о минутной реакции и понятной компенсации.
- Тестируйте заранее. Проводите нагрузочные «учения» вместе с провайдером: имитация L3/L4 и L7, сценарии «медленного клиента», атаки по API и поиску. Простой прогон в ночь на понедельник избавляет от паники в Чёрную пятницу.
- Смотрите на архитектуру. Нужны распределённые узлы фильтрации, близкие к вашим пользователям, и интеграция с WAF/бот‑менеджментом. Чем меньше «прыжков» до очистки, тем ниже задержки.
- Закрывайте бизнес‑риски. Синхронизируйте анти‑DDoS с платёжными шлюзами и CRM, заранее готовьте «лёгкую» версию витрины и очереди на критические операции.
- Считаете рублями. Сопоставьте стоимость часа простоя с тарифом защиты. Часто один пик трафика окупает годовую подписку.
Что важно для компаний из РФ
Для российских проектов жизненно критично, чтобы очистка трафика и каналы связи работали локально и не упирались в внешние платёжные инструменты. Зарубежные облачные сервисы могут работать ограниченно, а обновления у международных провайдеров приходят волнами и в России они обычно появляются позже. Поэтому заранее уточняйте юрисдикцию обработки, наличие узлов в регионах присутствия и варианты оплаты.
Итог
Парадокс «атак больше — защита дешевле» объясняется не чудесами, а человеческим фактором и формой закупок. Но цифры по инцидентам напоминают: экономить имеет смысл на избыточности, а не на готовности. Если ваша корзина, поиск или личный кабинет при пике превращаются в «улитку», значит время инвестировать не в красивые отчёты, а в живую устойчивость — тесты, SLA и понятную архитектуру.
Главная мысль: анти‑DDoS — это не покупка мегабит, а страхование выручки. Чем раньше это принять, тем меньше шансов узнать адрес службы поддержки в самый неудобный момент.
Ключевые слова: DDoS, кибербезопасность, L7, защита сайта, WAF, бот‑трафик, SLA, простои, Россия, бизнес
