От базы к зрелости: исследование рынка SIEM совместно с проектом Кибердом

Опрос 223 компаний, использующих SIEM, демонстрирует: 84% организаций применяют систему для мониторинга событий в реальном времени, 81% — для расследования инцидентов, 80% — для корреляции и выявления угроз. Однако продвинутые сценарии используются реже, что подчёркивает разрыв между базовым мониторингом и более зрелыми практиками.

При этом существуют и эксплуатационные барьеры: 43% сталкиваются с ложными срабатываниями, 33% — отмечают высокую стоимость владения, и ещё 33% компаний говорят о нехватке квалифицированных специалистов. 

Команда Yandex Cloud совместно с проектом Кибердом опросила представителей компаний по всей России из IT, ритейла, промышленности, банкинга, телекоммуникаций и образования. Все респонденты используют ИБ‑решения и уделяют особое внимание защите бизнес‑процессов. Под катом делимся основными результатами.

Что ещё показало исследование рынка SIEM

Результаты исследования отмечают, что рынок SIEM‑систем достиг точки зрелости: большинство компаний уже используют SIEM для мониторинга, корреляции событий и расследования инцидентов. При этом зрелость внедрения не означает эффективную эксплуатацию. Исследование показывает, что ключевые ограничения смещаются от вопроса потребности в продукте к вопросам стоимости владения, качества данных, доступности экспертизы и способности команды применять SIEM проактивно.

SIEM остаётся базовым элементом SOC, но чаще применяется для реактивных задач. При этом архитектура и экономика хранения ограничивают видимость: 

• Около 60% компаний ограничивают сбор событий;

• 55% хранят данные до полугода;

• Только 16% хранят информация более года.

Переход к проактивной безопасности пока сдержан: Threat Hunting, форензика, SOAR и поведенческая анализ используются заметно реже базовых SIEM‑сценариев. Data Lake становится ответом на рост объёма данных: 34% уже используют озёра данных для аналитики безопасности, ещё 31% планируют внедрение.

SIEM: зрелое подход с неочевидными сложностями

Большинство компаний считают SIEM обязательным элементом системы информационной безопасности. Статистика подтверждает это:

При этом широкое добавление базовых сценариев не гарантирует, что SIEM полностью закрывает потребности SOC. Данные показывают разрыв между наличием SIEM как технологического ядра и реальной возможностью ежедневно использовать его потенциал без значительных ручных усилий. Это указывает на необходимость развития подходов к эксплуатации таких систем.

Продвинутые сценарии используются реже: Threat Hunting — приблизительно 42%, автоматизация реагирования на инциденты (SOAR) — 38%. Это подчёркивает разрыв между базовым мониторингом и более зрелыми практиками SOC.

Эксплуатационные проблемы: ложные срабатывания, TCO и кадровый дефицит

Три ключевые проблемы эксплуатации SIEM взаимосвязаны. Ложные срабатывания повышают нагрузку на аналитиков, нехватка квалифицированных специалистов ухудшает качество настройки и администрирования, а высокая стоимость владения сдерживает масштабирование сбора данных и развитие новых сценариев.

Эти показатели следует рассматривать не как частные замечания респондентов, а как признаки системных сложностей в работе с SIEM. По мере подключения новых источников данных возрастают требования к нормализации и корреляции событий, качеству правил, объёму хранения и квалификации команды. Если архитектура SIEM плохо масштабируется с организационной и экономической точек зрения, каждое расширение зоны видимости приводит к росту операционной нагрузки.

Как ограничения данных влияют на расследования

Одно из ключевых наблюдений исследования: компании вынуждены ограничивать объём данных, поступающих в SIEM и доступных для ретроспективного анализа. Около 60% респондентов ограничивают сбор событий, 55% выбирают дедлайн хранения до полугода, и только 16% хранят данные более года.

На практике это создаёт противоречие: чем сложнее атаки и длиннее их жизненный цикл, тем важнее исторический контекст. Но именно он часто становится первым, что ограничивают из‑за высокой стоимости хранения и обработки.

В этом случае особенно заметна роль Data Lake. 34% опрошенных уже используют озёра данных для аналитики безопасности, ещё 31% планируют их добавление. Основные факторы — хранение больших объёмов данных (47%), загрузка данных из разных систем (45%) и объединение разных источников (45%).

Разрыв между потенциальным SIEM и его реальным использованием

Исследование показывает: большинство компаний используют SIEM для базовой операционной функции — мониторинга событий ИБ и расследования инцидентов. Более продвинутые практики встречаются реже: Threat Hunting используют 42% респондентов, форензику и расследования — 42%, автоматизацию реагирования на инциденты (SOAR) — 38%, управление уязвимостями — 37%.

Это не означает, что компаниям не нужны продвинутые сценарии. Напротив, обратная связь от крупного и среднего бизнеса выявляет нереализованные потребности: проактивный поиск угроз, поведенческий анализ и «расследование по клику». Задача в том, что такие практики требуют зрелой базы правил корреляции, качественных данных, экспертной команды и эффективных инструментов работы с контекстом.

Главные критерии выбора SIEM-решений: цифры и тренды

При выборе SIEM заказчики обращают внимание на базовые эксплуатационные характеристики: удобство интерфейса и средств визуализации — 57%, эффективность и гибкое масштабирование — 57%, функциональность и возможность корреляции — 56%. Также важны техническая сопровождение, функция хранить и анализировать большие объёмы данных — по 50% респондентов отметили эти параметры.

Низкий приоритет ML/AI не следует трактовать как отсутствие интереса к ИИ. Скорее, рынок пока оценивает перспективы внедрения ИИ с точки зрения доверия, измеримого эффекта и применимости в реальных SOC‑процессах. Для CISO и руководителей SOC приоритет — не сама техника, а снижение нагрузки, ускорение расследований и качество рекомендаций.

Компании выбирают подход, которое устойчиво работает под нагрузкой, понятно аналитикам, помогает контролировать TCO и даёт стабильные операционные результаты. Продвинутые функции будут востребованы тогда, когда докажут свою ценность в повседневной работе.

Стратегические приоритеты рынка SIEM

Проведённое исследование выявило ключевые векторы развития рынка средств мониторинга и реагирования в ответ на текущие операционные вызовы:

• SIEM останется ядром SOC, но его ценность будет напрямую зависеть от способности решения снижать операционную сложность.

• TCO становится стратегическим фактором выбора. Стоимость хранения, обработки и эксплуатации напрямую влияет на полноту видимости и качество расследований.

• Кадровый дефицит меняет требования к продукту. Работа с системой не должна требовать узкоспециализированной экспертизы на каждом этапе. Даже менее опытный аналитик должен уметь разбираться в срабатываниях, понимать контекст и принимать корректные решения с помощью встроенных подсказок, готовых сценариев и автоматизации. 

• Решение на базе Data Lake будет набирать популярность. Он отвечает на потребность хранить и анализировать больше данных без линейного роста стоимости классического SIEM.

• ИИ и автоматизация будут внедряться через доверие и измеримый эффект. Рынок не ожидает чудес от ИИ, но готов к инструментам, которые уменьшают шум, ускоряют расследование и помогают анализировать контекст угроз.

Загрузить полную версию исследования на сайте Yandex Cloud