Совместное исследование Yandex B2B Tech и «Кибердома» показало, что 80% крупных российских компаний используют SIEM-системы, однако 60% из них вынуждены ограничивать объем и срок хранения данных из-за высокой стоимости локальных решений, что снижает качество расследований инцидентов.
Согласно полученным данным, 80% крупных предприятий уже внедрили системы мониторинга безопасности. Однако эффект от их использования не всегда соответствует ожиданиям. Наиболее распространенной проблемой является недостаток емкости для хранения собираемой информации, что напрямую сказывается на качестве анализа инцидентов.
Около 60% респондентов отмечают, что вынуждены сокращать объем регистрируемых событий и ограничивать срок их хранения периодом от 6 до 12 месяцев. Основная причина заключается в том, что локальные (on-premises) версии SIEM требуют значительных капитальных и операционных вложений, что затрудняет масштабирование инфраструктуры и снижает экономическую целесообразность долгосрочного использования. При этом дефицит ретроспективной информации становится критическим фактором при расследовании сложных атак, развитие которых может занимать продолжительное время.
43% компаний жалуются на высокую частоту ложных срабатываний, что увеличивает нагрузку на аналитиков и отвлекает ресурсы от реальных угроз. Еще 33% опрошенных называют сдерживающим фактором высокую совокупную стоимость владения, которая мешает наращивать объемы сбора данных и внедрять новые сценарии контроля. Треть участников указывают на нехватку квалифицированных кадров, способных вручную настраивать правила корреляции и оперативно проводить расследования.
«Архитектура безопасности усложняется: появляется много новых решений и вместе с ними — новых угроз. Мы регулярно проводим встречи для руководителей центров мониторинга информационной безопасности (SOC) и аккумулируем отраслевую экспертизу через исследования рынка. Результаты исследования Кибердома и Yandex B2B Tech показали, что российский рынок SIEM переходит от модели сбора событий к управляемой аналитике безопасности. Становятся востребованными решения, снижающие операционную нагрузку: с минимальной ручной настройкой, возможностью быстрого масштабирования и встроенными инструментами для ускорения расследований».
Ольга Орденова, руководитель бизнес‑клуба Кибердома
Директор по информационной безопасности Yandex Cloud Евгений Сидоров обращает внимание на противоречие: хотя атаки становятся более изощренными и длительными, именно исторический контекст, необходимый для их выявления, чаще всего сокращается из-за затрат на обработку. В качестве альтернативы рассматриваются SaaS-решения, интеграция с озерами данных (Data Lake), а также встроенные средства автоматизации и ИИ. Эти технологии, по мнению экспертов, не заменяют специалистов, но позволяют ускорить проверку гипотез и обработку инцидентов.
Основными критериями выбора SIEM-платформ становятся гибкость масштабирования под растущие объемы данных и оптимизация общих расходов. При этом автоматизация и вспомогательные алгоритмы выполняют роль катализатора, позволяя командам центров мониторинга (SOC) работать эффективнее без пропорционального расширения штата.