Рынок кибербезопасности разделился. Три мира, не знающих друг друга
Рынок кибербезопасности разделился. Три мира, не знающих друг друга

Глобальный рынок кибербезопасности давно перестал быть монолитом - если он им вообще был. Попытки составить единый рейтинг «лучших» компаний отрасли разбиваются об одну простую вещь: CrowdStrike, небольшая boutique-команда из десяти хакеров и Mandiant не конкурируют между собой. Они работают в параллельных вселенных с разной логикой, разными клиентами и принципиально несопоставимыми бизнес-моделями.

Три модели, три рынка

Первый эшелон - платформенные вендоры. Palo Alto Networks закрыла 2025 финансовый год с выручкой $9,2 млрд, CrowdStrike подбирается к $5 млрд ARR и целится в $10 млрд к 2031 году, Fortinet контролирует 55% мирового рынка межсетевых экранов по количеству устройств. Эти компании продают продукт - подписку на платформу, которую клиент разворачивает сам или с партнёром. Масштаб, унификация, тиражируемость.

Второй эшелон устроен иначе. Boutique-команды наступательной безопасности - Bishop Fox (около 500 человек, четверть Fortune 100 в клиентах), SpecterOps (создатели BloodHound, привлекли свыше $138 млн), Trail of Bits (аудит Ethereum, Uniswap, Aave) - продают не лицензию, а конкретного специалиста на конкретный проект. Никакой платформы. Только ручной пентест и Red Teaming. Сравнивать их с Palo Alto - всё равно что сравнивать нейрохирурга с производителем аппаратов МРТ.

Третий сегмент - MDR и IR-провайдеры. Mandiant, поглощённый Google Cloud за $5,4 млрд, расследовал атаку на Colonial Pipeline и утечку данных Snowflake в 2024 году. Kroll обрабатывает более 3000 инцидентов в год и предлагает юридическое сопровождение расследований вплоть до уровня совета директоров - редкость для ИБ-рынка. Эти игроки появляются тогда, когда что-то уже пошло не так.

Кто есть кто и зачем

  • Платформенные вендоры - закрывают базовую защиту периметра, конечных точек, облачной инфраструктуры. Задача повторяемая, решение тиражируемое.
  • Boutique-команды - глубокая разовая проверка конкретной системы: финтех, крипто-инфраструктура, Active Directory. Каждый проект ведёт старший специалист лично.
  • MDR/IR-провайдеры - расследование уже случившегося инцидента, коммуникация с регуляторами, юридическое сопровождение.

Примечательна и география: платформенные гиганты концентрируются в США - венчурный капитал и оборонные контракты исторически формируют именно таких игроков. Boutique- и MDR-сегменты разнообразнее: сильные команды работают в Великобритании, России, по всему MENA-региону.

Консолидация не щадит никого

Рынок продолжает сжиматься. В феврале 2025 года британская Sophos закрыла покупку Secureworks за $859 млн - 25-летний публичный игрок прекратил самостоятельное существование, его MDR-платформа Taegis растворилась в портфеле покупателя. Хрестоматийный пример того, как даже зрелые независимые бренды не застрахованы от поглощения.

Ценообразование добавляет непрозрачности. У большинства мировых игроков - и платформенных, и boutique - фиксированных прайс-листов нет. Стоимость формируется под конкретный скоуп после первичного брифинга. Quote-based модель означает: понять реальный уровень цен без прямого запроса невозможно.

Вывод простой, но его часто игнорируют: выбор провайдера кибербезопасности начинается не с бренда и не с размера компании, а с точной формулировки задачи. Нужна защита периметра - это к вендору. Нужна глубокая проверка блокчейн-смарт-контрактов - это к boutique. Уже горит - это к IR-провайдеру. Перепутать сегмент значит потратить деньги не туда.