Разработка собственной WAF в Ozon
Ozon начал разработку собственной системы защиты WAF. Об этом говорится в опубликованном компанией объявлении о вакансии старшего специалиста по работе с данными, выяснил Forbes.
«Расширяем команду под запуск нового проекта — разработку WAF», — указано в вакансии.
Речь идет не о запуске отдельного продукта для рынка, а о развитии собственной экспертизы внутри компании, уточнили изданию представители Ozon.
Проект на несколько лет и минимум полмиллиарда рублей
Для создания WAF с нуля для нагрузок масштаба Ozon потребуется минимум год работы пяти-десяти специалистов (разработчики, ИБ-эксперты, DevOps, аналитики угроз) и около 100 млн руб. (при текущих рыночных ставках) только на начальную разработку, отметил генеральный директор Curator Дмитрий Ткачев.
Ozon начнет разработку WAF на основе open source, открытого и бесплатного кода, вероятно, ModSecurity, полагает собеседник издания в крупном ИT-холдинге.
«Разработка WAF корпоративного уровня для такой крупной, сложной и постоянно меняющейся системы может занять несколько лет и от полумиллиарда рублей», — считает вице-президент компании «Гарда» Рустэм Хайретдинов.
Потребуется также корректная настройка правил фильтрации и детектирующей логики, а также дополнительные расходы на поддержание и развитие системы, добавил заместитель генерального директора по развитию бизнеса ООО «Вебмониторэкс» Владимир Гриднев.
Почему не подходит готовое решение
Иностранные WAF-системы, например, Imperva, F5, Fortinet, сейчас официально недоступны на российском рынке, пояснил один из собеседников Forbes, да и маловероятно, что Ozon рассматривал возможность закупки иностранных систем с учетом требований регулятора к защите персональных данных пользователей и безопасности банков.
Российские решения, по его мнению, могли не подойти по уровню технической поддержки и стоимости, которая в случае Ozon может превышать 10 млн руб. в месяц. WAF тарифицируется по количеству запросов в секунду (rps, request per second) и для маркетплейсов с их нагрузкой это выливается в десятки миллионов рублей в месяц, согласен Ткачев.
«Российским вендорам не интересно делать такой продукт, так как в подобном случае они рискуют вложить огромные деньги в R&D и сделать продукт для одного клиента», — прокомментировал руководитель направления развития продуктов кибербезопасности Cloud.ru Максим Долгинин.
Собственная разработка «только для себя» может сэкономить около 20% на рыночных функциях, которые подразумевают развертывание, настройку, обучение и внедрение, по словам Хайретдинова.
Представленные на рынке решения могут не полностью соответствовать существующей в Ozon специфике. Техногиганты часто разрабатывают под себя собственный инструмент или систему, сказал директор по развитию бизнеса безопасной разработки Positive Technologies Алексей Антонов.
Как выяснил CNews в апреле 2026 г., маркетплейс Ozon развивает также собственные технологии автоматизации логистики. Компания изучает рынок оборудования для создания и дальнейшей пусконаладки автоматизированной линии поверхностного монтажа (SMT) печатных плат.
Для чего используется WAF
WAF-системы контролирует входящий и исходящий сетевой трафик и блокирует подозрительные подключения.
«В Ozon мы уже несколько лет используем решения класса WAF для защиты наших веб-приложений от атак на уровне пользовательских сервисов — именно туда чаще всего направлены попытки автоматизированного взлома, ботовой активности и эксплуатации уязвимостей. Для крупной технологической компании это ключевой элемент защиты, поскольку речь идет не только о стабильности платформы, но и о безопасности пользовательских данных», — рассказали представители пресс-службы.
Маркетплейсу WAF может быть нужна и для контроля попыток продавцов влиять на алгоритмы с целью злоупотреблений, например, манипулирования выдачей, рассказал CEO Insight AI Михаил Евдокимов.
WAF может выполнять в том числе и функцию ограничения доступа к веб-ресурсам через VPN на основании данных, полученных от другой системы, например, по предоставленным спискам IP-адресов, добавил Гриднев.
Поделиться
