Yandex B2B Tech и Кибердом представили результаты совместного исследования российского рынка SIEM‑решений. 80% крупных компаний используют системы мониторинга безопасности, однако после внедрения не у всех получается эксплуатировать их эффективно. Зачастую в SIEM-системах не хватает места для хранения собираемых данных. Это снижает качество расследований инцидентов безопасности.
По данным исследования, около 60% компаний вынуждены сокращать объём собираемых событий безопасности и хранить их не более 6–12 месяцев. Причина в том, что локальные (on‑premises) SIEM‑решения требуют значительных ресурсных и финансовых затрат, что ограничивает возможности масштабирования этих систем и снижает экономическую эффективность в долгосрочной перспективе. При этом отсутствие ретроспективных данных напрямую влияет на качество расследований, особенно в случае атак с длительным жизненным циклом.
Ограничение хранения данных – не единственная проблема при использовании SIEM-систем. 43% компаний сталкиваются с большим количеством ложных срабатываний инструмента — это повышает нагрузку на аналитиков и отнимает время от работы с реальными угрозами. Ещё 33% отмечают высокую совокупную стоимость владения решениями: это сдерживает масштабирование сбора данных и развитие новых сценариев мониторинга. И треть компаний указали среди барьеров использования SIEM нехватку квалифицированных специалистов для ручной настройки правил и расследований, что осложняет своевременное реагирование на инциденты.
«Сегодня обеспечение кибербезопасности — обязательное условие устойчивости бизнеса. Архитектура безопасности усложняется: появляется много новых решений и вместе с ними — новых угроз. Мы регулярно проводим встречи для руководителей центров мониторинга информационной безопасности (SOC) и аккумулируем отраслевую экспертизу через исследования рынка. Результаты исследования Кибердома и Yandex B2B Tech показали, что российский рынок SIEM переходит от модели сбора событий к управляемой аналитике безопасности. Становятся востребованными решения, снижающие операционную нагрузку: с минимальной ручной настройкой, возможностью быстрого масштабирования и встроенными инструментами для ускорения расследований», — комментирует Ольга Орденова, руководитель бизнес‑клуба Кибердома.
«Одно из наиболее важных наблюдений исследования — компании вынуждены ограничивать объём данных в SIEM для ретроспективного анализа. Если учесть, что 60% организаций ограничивают сбор событий, не хранят логи более полугода, а остальные — не дольше года, то возникает противоречие. Чем сложнее атаки и длиннее их жизненный цикл, тем ценнее исторический контекст — но именно его чаще всего оптимизируют из‑за стоимости хранения и обработки. В качестве решения мы видим высокий потенциал у SaaS‑модели SIEM-решений, интеграции с Data Lake, встроенную автоматизацию и AI‑инструменты. Всё это не заменит аналитика, а поможет ему в разы быстрее разобраться в инциденте, проверить гипотезу и принять корректное решение», — прокомментировал Евгений Сидоров, директор по информационной безопасности Yandex Cloud.
Исследование основано на опросе 223 компаний из различных отраслей — от финансового сектора и телекоммуникаций до промышленности и ритейла. Анализ данных показал, что рынок движется к новой модели SIEM — как платформы управляемой аналитики безопасности. Главными критериями выбора инструмента становятся легкость масштабирования под растущие объёмы данных и снижение общих затрат на использования решения. Автоматизация и вспомогательные ИИ-инструменты здесь играют роль катализатора: они ускоряют расследования и фильтруют «шум», позволяя командам SOC работать эффективнее без расширения команды.
Источник: Yandex B2B Tech
