В российской кибербезопасности появился новый системный игрок — ГК «Солар» представила платформу Solar SIEM, которая объединяет функции анализа инцидентов и автоматизированного реагирования в одном продукте.
Платформа демонстрирует, как модульная архитектура и встроенный нейропомощник на базе ИИ позволяют компаниям строить умный SIEM, интегрируя новые решения без полной замены существующих систем. О том, как Solar SIEM меняет подход к построению киберэкосистем и автоматизации SOC, — читайте на «Компьютерре».
ГК «Солар», известная как разработчик SOC-сервисов и аналитических инструментов, представила собственную платформу Solar SIEM — решение, которое объединяет функции SIEM и SOAR в одном продукте. В рамках закрытой презентации для прессы представители компании рассказали подробнее о продукте и показали дорожную карту развития проекта.
Две технологии — одно ядро
Solar SIEM, по мнению представителей бренда, должна закрывать весь цикл работы центра мониторинга безопасности — от сбора событий и корреляции до автоматизированного реагирования.
Ключевое отличие Solar SIEM от многих аналогов — объединение в одном «коробочном» продукте двух технологий:
- SIEM (Security Information and Event Management) — собирает и коррелирует события безопасности из всех источников, создавая единую картину угроз;
- SOAR (Security Orchestration, Automation and Response) — автоматизирует реагирование на инциденты по заранее настроенным сценариям (плейбукам).
Объединение двух классов технологий на одной платформе, по оценке «Солара», позволит сократить до 40 % затраты на внедрение и сопровождение системы. Со слов представителей компании, продукт ориентирован на три группы заказчиков:
- компании, создающие собственные SOC;
- организации, которые переходят с иностранных решений;
- клиентов, использующих гибридную модель аутсорсинга.
Максим Жевнерев, руководитель отдела развития технологий и перспективных услуг Solar JSOC, рассказал «Компьютерре», что при внедрении новых решений важно учитывать уже существующие системы заказчика. Вместо полной замены предлагается модульная архитектура: можно начать с SIEM и по мере необходимости добавлять SOAR или другие компоненты.
«Мы исходили из реалий, что у большинства заказчиков уже есть внедренные системы от разных вендоров. Поэтому задача не “поставить все заново”, а интегрироваться быстро и безболезненно. Мы предлагаем модульную архитектуру: можно использовать только SIEM, добавить SOAR или другие компоненты по мере необходимости».
Максим Жевнерев, руководитель отдела развития технологий и перспективных услуг Solar JSOC
По оценке компании, рынок решений для анализа и реагирования на инциденты в 2024 году достиг 36 млрд руб. и к 2030-му может вырасти более чем вдвое. На долю SIEM-систем сегодня приходится около четверти сегмента.
Рост обеспечивает и рынок MSSP-сервисов, который, по данным iKS-Consulting, увеличится с 26 до 54 млрд руб. к 2028 году. Таким образом, «Солар» делает шаг в сторону консолидации рынка, где крупные игроки стремятся контролировать весь цикл — от сбора телеметрии до автоматического реагирования.
Другого мнения на счет развития сегмента SIEM в России придерживается Алексей Кубарев, директор по информационной безопасности «Т1 Облако». Он считает, что этот рынок постепенно выходит в стадию зрелости, а динамика спроса смещается в сторону управляемых сервисов.
«Сегмент SIEM нельзя назвать однозначно восходящим трендом. Рынок систем управления информацией и событиями информационной безопасности в России уже сформировался — ключевые участники, включая лидеров рынка, заняли свои ниши. Импульс импортозамещения, который значительно стимулировал развитие данного сегмента в 2022 году, к настоящему моменту иссяк».
Алексей Кубарев, директор по информационной безопасности «Т1 Облако»
По его словам, основные процессы по замещению зарубежных решений, в том числе SIEM, были реализованы в 2023–2024 годах. Кроме того, начиная с 2023 года, в Т1 наблюдают устойчивый рост спроса на managed security services (в том числе на SOC), предоставляемые провайдерами таких услуг. Это свидетельствует о том, что продажи On-Prem SIEM значительно расти не будут.
Искусственный интеллект и нейропомощник
Одной из ключевых особенностей Solar SIEM, по словам менеджеров, стал встроенный нейропомощник, который помогает аналитикам SOC формировать правила корреляции, писать запросы к данным и создавать сценарии реагирования.
Как пояснил «Компьютерре» Жевнерев, речь идет не о внешнем API-доступе к открытым моделям, а о собственных дообученных алгоритмах, развернутых на инфраструктуре компании.
«Наша цель — не справочник, а полноценная система ИИ-агентов, которые умеют принимать решения, выполнять действия и взаимодействовать с другими модулями экосистемы. Мы дообучаем модели на собственных данных и сценариях Solar JSOC и 4RAYS, а по мере роста клиентов будем масштабировать облачную платформу», — добавил он. Таким образом, компания идет к созданию умного SIEM, где человек выступает оператором надстройки, а не ручным исполнителем.
В перспективе Solar SIEM должен стать ядром интегрированной платформы «Солара» для управления кибербезопасностью. «Мы движемся от набора отдельных сервисов к единой экосистеме. Solar SIEM — это единая точка входа для мониторинга и реагирования на инциденты», — пояснил руководитель.
Не маркетплейс, а контроль качества
Также на презентации был затронут вопрос открытости системы. По словам Жевнерева, идея комьюнити-версий и публичных маркетплейсов, где пользователи сами пишут корреляционные правила и сценарии реагирования, на российском рынке пока не прижилась.
«Был соблазн сделать открытый маркетплейс — чтобы клиенты сами писали корреляции. Но практика показывает: такие истории редко работают. Пользователи хотят готовый функционал, а не продукт, который нужно «допиливать» на Python после установки», — отметил он.
Илья Радченко, директор по платформенным продуктам компании SimpleOne, корпорация ITG, отметил другой аспект: маркетплейс не обязательно создается для изменения базовой поставки продукта, а скорее для публикации расширений и модулей, которые развивают экосистему.
«Маркетплейс в этом смысле решает другую задачу — он нужен не для модификации, а для публикации расширений к существующей или новой функциональности. Наличие маркетплейса, наоборот, помогает развивать экосистему продукта и внедрять новые модули без вмешательства в основную систему».
Илья Радченко, директор по платформенным продуктам компании SimpleOne, корпорация ITG
По его мнению, маркетплейс полезен не как инструмент для самостоятельного «допиливания» продукта клиентом, а как платформа для расширений и развития экосистемы без вмешательства в базовую систему. Тем не менее в дорожной карте Solar SIEM предусмотрено развитие контент-маркетплейса — платформы, где можно будет делиться сценариями и плейбуками. «Эта идея у нас в планах, просто хотим понимать, действительно ли рынок к ней готов», — добавил Жевнерев.
Дорожная карта: как будет развиваться Solar SIEM
Развитие Solar SIEM до 2026 года будет сосредоточено на создании централизованной платформы для управления кибербезопасностью, где новый продукт станет ее основным аналитическим и управляющим звеном.
В третьем квартале 2025 года фокус будет сделан на углублении аналитики: запланирован выход встроенной системы поведенческих профилей для выявления аномалий и трендов, а также прототипа ИИ-ассистента, и начнется интеграция с Active Directory (служба управления сетевыми ресурсами) для автоматического пополнения списка активов.
В четвертом квартале 2025 — первом квартале 2026 года ключевой темой станет управление и автоматизация: появится централизованное управление логикой генерации алертов, функция автоматического обновления контента от Solar JSOC и базовая поддержка мультитенантности для работы с несколькими подразделениями.
В 2026 году развитие Solar SIEM будет вестись по шести ключевым направлениям. Основные усилия будут сосредоточены на развитии ИИ-агента до уровня опытного специалиста и углублении сценариев мультитенантности (это способность платформы или системы одновременно обслуживать нескольких независимых клиентов).
Параллельно планируется расширение библиотеки сценариев реагирования, глубокая интеграция с продуктами «Солара», улучшение пользовательского опыта и запуск маркетплейса для решений с другими отечественными системами.
Вывод
С запуском Solar SIEM ГК «Солар» делает шаг в сторону консолидации российского рынка кибербезопасности, предлагая интегрированное решение, которое объединяет функции анализа и автоматического реагирования на инциденты.
Модульная архитектура и встроенный нейропомощник позволяют компаниям адаптировать платформу под свои потребности, расширять функциональность по мере роста и постепенно строить собственный умный SOC.
Одновременно с этим подход к маркетплейсу показывает, что развитие экосистемы продукта и публикация расширений важнее, чем открытая доработка ядра, что соответствует реалиям отечественного рынка и закладывает основу для дальнейшего масштабирования.
В этом контексте встроенный нейропомощник выступает связующим элементом экосистемы: он не только автоматизирует рутинные задачи, но и обеспечивает интеллектуальное взаимодействие между модулями, превращая платформу в сильного конкурента на рынке ИБ-решений.