Спрос на Security Data Lake вырастет на 80%, прогнозируют эксперты. В 2025 г. бизнес чаще сталкивался с атаками, которые растягиваются во времени и требуют ретроспективного расследования. В этом контексте архитектура Security Data Lake (SDL), предусматривающая долгосрочное хранение исходных событий информационной безопасности с последующей глубокой аналитикой, становится стратегическим инструментом для зрелых центров кибербезопасности.
Аргументы и стимулы
Можно ожидать, что в этом году спрос на SDL в России увеличится почти вдвое. Если в 2024 году среднее время скрытого пребывания злоумышленников в инфраструктуре составляло 25 дней, в 2025‑м – порядка 40. Практика показывает, что глубина целевой атаки может доходить до нескольких лет. Борьба с угрозами такого рода требует ретроспективного анализа данных.
Также рост интереса к Security Data Lake на российском рынке стимулируется необходимостью соответствия регуляторным нормам, предписывающим длительное хранение логов, и, кроме того, качественным изменением осознанности бизнеса. Компании все чаще сопоставляют стоимость внедрения современных решений с потенциальными финансовыми и репутационными потерями от инцидентов, которые могли бы быть предотвращены при наличии доступа к историческим данным.
Принципиальное отличие концепции SDL от традиционных SIEM-систем кроется в принципе работы с данными. Классические SIEM-решения, ориентированные на обработку событий в реальном времени, в среднем хранят данные от 7 до 30 дней. Расширение этого окна в рамках старой архитектуры приводит к кратному росту затрат. Технология Security Data Lake позволяет сохранять структурированные и неструктурированные данные в исходном виде годами. За счет переиспользования хранилищ, которые уже эксплуатируются заказчиками, и оптимального подбора дополнительных хранилищ под те или иные типы данных можно снизить совокупную стоимость владения инфраструктурой мониторинга (TCO) до 50%, одновременно повышая эффективность расследования сложных инцидентов.
От нишевой инновации к обязательному элементу
В целом рынок ИБ переживает трансформацию, вызванную экспоненциальным ростом объемов цифровой информации и усложнением ландшафта киберугроз. Традиционные подходы к реагированию, ограниченные рамками традиционных SIEM, достигают пределов своей технической эффективности. Анализ рыночных тенденций свидетельствует о том, что SDL перестает быть нишевой инновацией и переходит в разряд обязательных элементов для зрелых центров безопасности (SOC).
Ключевым драйвером здесь выступает необходимость работы с исходными событиями информационной безопасности: если раньше журналы и телеметрия удалялись спустя месяц, то теперь SDL позволяет накапливать петабайты информации, подключая аналитические мощности лишь по требованию – непосредственно в момент расследования или охоты за угрозами (Threat Hunting).
Кроме того, современные системы безопасности класса SDL обладают возможностью консолидировать информацию из разрозненных хранилищ в единое мета-хранилище. Такая централизация обеспечивает аналитикам полный контекст для проведения ретроспективных расследований и Threat Hunting, недоступных в рамках ограниченной памяти традиционных средств защиты.
На российском рынке развитие сегмента Security Data Lake получает мощный импульс в том числе благодаря курсу на импортозамещение. Отечественные вендоры переходят от копирования западной функциональности к созданию высокопроизводительных платформ enterprise-класса. Появляются решения, которые обеспечивают расширенную функциональность, включая высокую скорость полнотекстового поиска и возможность работать с любыми источниками данных без ограничений по пропускной способности.
Полигон для обучения моделей и не только
Перспективы развития технологии неразрывно связаны с внедрением искусственного интеллекта и машинного обучения. Озеро данных, аккумулирующее колоссальные массивы исторической информации, становится идеальным полигоном для обучения моделей. Это открывает путь к предиктивной аналитике, когда система способна не просто реагировать на свершившийся инцидент, но и предсказывать векторы атак на основе выявленных аномалий. Экспертное сообщество сходится во мнении, что в ближайшие годы индустрия придет к гибридной модели SOC, где SIEM-система будет отвечать за оперативное оповещение, а Security Data Lake возьмет на себя роль аналитического хаба для хранения данных, глубокого ретроспективного анализа и обеспечения нормативных требований.
Внедрение Security Data Lake становится вопросом стратегического выживания крупного бизнеса в цифровой среде. Компании, игнорирующие этот тренд, рискуют столкнуться с неуправляемым ростом затрат на ИТ-инфраструктуру и снижением качества обнаружения кибератак. Конвергенция SDL и SIEM формирует платформы нового поколения, устраняющие слепые зоны и обеспечивающие полную прозрачность информационных потоков предприятия.
«Security Data Lake дает бизнесу возможность восстановить ход атаки и понять, когда она началась, какие системы она затронула и встречались ли подобные сценарии ранее. В паре с SIEM эта технология показывает полную картину угроз и повышает шансы на обнаружение даже самых сложных атак», – пояснил Александр Скакунов, генеральный директор компании VolgaBlob.
Источник: Пресс-центр iTrend
