Опрос 223 компаний, использующих SIEM, показывает: 84% организаций применяют систему для мониторинга событий в реальном времени, 81% — для расследования инцидентов, 80% — для корреляции и выявления угроз. Однако продвинутые сценарии используются реже, что подчёркивает разрыв между базовым мониторингом и более зрелыми практиками.
При этом существуют и эксплуатационные барьеры: 43% сталкиваются с ложными срабатываниями, 33% — отмечают высокую стоимость владения, и ещё 33% компаний говорят о нехватке квалифицированных специалистов.
Команда Yandex Cloud совместно с проектом Кибердом опросила представителей компаний по всей России из IT, ритейла, промышленности, банкинга, телекоммуникаций и образования. Все респонденты используют ИБ‑решения и уделяют особое внимание защите бизнес‑процессов. Под катом делимся основными результатами.
Что ещё показало исследование рынка SIEM
Результаты исследования отмечают, что рынок SIEM‑систем достиг точки зрелости: большинство компаний уже используют SIEM для мониторинга, корреляции событий и расследования инцидентов. При этом зрелость внедрения не означает эффективную эксплуатацию. Исследование демонстрирует, что ключевые ограничения смещаются от вопроса потребности в продукте к вопросам стоимости владения, качества данных, доступности экспертизы и способности команды использовать SIEM проактивно.
SIEM остаётся базовым элементом SOC, но чаще применяется для реактивных задач. При этом архитектура и экономика хранения ограничивают видимость:
Около 60% компаний ограничивают сбор событий;
55% хранят данные до полугода;
Только 16% хранят данные более года.
Переход к проактивной безопасности пока сдержан: Threat Hunting, форензика, SOAR и поведенческая аналитика используются заметно реже базовых SIEM‑сценариев. Data Lake становится ответом на рост объёма данных: 34% уже используют озёра данных для аналитики безопасности, ещё 31% планируют внедрение.
SIEM: зрелое решение с неочевидными сложностями
Большинство компаний считают SIEM обязательным элементом системы информационной безопасности. Статистика подтверждает это:
При этом широкое внедрение базовых сценариев не гарантирует, что SIEM полностью закрывает потребности SOC. Данные показывают разрыв между наличием SIEM как технологического ядра и реальной возможностью ежедневно использовать его потенциал без значительных ручных усилий. Это указывает на необходимость развития подходов к эксплуатации таких систем.
Продвинутые сценарии используются реже: Threat Hunting — около 42%, автоматизация реагирования на инциденты (SOAR) — 38%. Это подчёркивает разрыв между базовым мониторингом и более зрелыми практиками SOC.
Эксплуатационные проблемы: ложные срабатывания, TCO и кадровый дефицит
Три ключевые проблемы эксплуатации SIEM взаимосвязаны. Ложные срабатывания повышают нагрузку на аналитиков, нехватка квалифицированных специалистов ухудшает качество настройки и администрирования, а высокая стоимость владения сдерживает масштабирование сбора данных и развитие новых сценариев.
Эти показатели следует рассматривать не как частные замечания респондентов, а как признаки системных сложностей в работе с SIEM. По мере подключения новых источников данных возрастают требования к нормализации и корреляции событий, качеству правил, объёму хранения и квалификации команды. Если архитектура SIEM плохо масштабируется с организационной и экономической точек зрения, каждое расширение зоны видимости приводит к росту операционной нагрузки.
Как ограничения данных влияют на расследования
Одно из ключевых наблюдений исследования: компании вынуждены ограничивать объём данных, поступающих в SIEM и доступных для ретроспективного анализа. Около 60% респондентов ограничивают сбор событий, 55% выбирают срок хранения до полугода, и только 16% хранят данные более года.
На практике это создаёт противоречие: чем сложнее атаки и длиннее их жизненный цикл, тем важнее исторический контекст. Но именно он часто становится первым, что ограничивают из‑за высокой стоимости хранения и обработки.
В этом случае особенно заметна роль Data Lake. 34% опрошенных уже используют озёра данных для аналитики безопасности, ещё 31% планируют их внедрение. Основные факторы — хранение больших объёмов данных (47%), загрузка данных из разных систем (45%) и объединение разных источников (45%).
Разрыв между потенциальным SIEM и его реальным использованием
Исследование показывает: большинство компаний используют SIEM для базовой операционной функции — мониторинга событий ИБ и расследования инцидентов. Более продвинутые практики встречаются реже: Threat Hunting используют 42% респондентов, форензику и расследования — 42%, автоматизацию реагирования на инциденты (SOAR) — 38%, управление уязвимостями — 37%.
Это не означает, что компаниям не нужны продвинутые сценарии. Напротив, обратная связь от крупного и среднего бизнеса выявляет нереализованные потребности: проактивный поиск угроз, поведенческий анализ и «расследование по клику». Проблема в том, что такие практики требуют зрелой базы правил корреляции, качественных данных, экспертной команды и эффективных инструментов работы с контекстом.
Главные критерии выбора SIEM-решений: цифры и тренды
При выборе SIEM заказчики обращают внимание на базовые эксплуатационные характеристики: удобство интерфейса и средств визуализации — 57%, производительность и гибкое масштабирование — 57%, функциональность и возможность корреляции — 56%. Также важны техническая поддержка, возможность хранить и анализировать большие объёмы данных — по 50% респондентов отметили эти параметры.
Низкий приоритет ML/AI не следует трактовать как отсутствие интереса к ИИ. Скорее, рынок пока оценивает перспективы внедрения ИИ с точки зрения доверия, измеримого эффекта и применимости в реальных SOC‑процессах. Для CISO и руководителей SOC приоритет — не сама технология, а снижение нагрузки, ускорение расследований и качество рекомендаций.
Компании выбирают решение, которое устойчиво работает под нагрузкой, понятно аналитикам, помогает контролировать TCO и даёт стабильные операционные результаты. Продвинутые функции будут востребованы тогда, когда докажут свою ценность в повседневной работе.
Стратегические приоритеты рынка SIEM
Проведённое исследование выявило ключевые векторы развития рынка средств мониторинга и реагирования в ответ на текущие операционные вызовы:
SIEM останется ядром SOC, но его ценность будет напрямую зависеть от способности решения снижать операционную сложность.
TCO становится стратегическим фактором выбора. Стоимость хранения, обработки и эксплуатации напрямую влияет на полноту видимости и качество расследований.
Кадровый дефицит меняет требования к продукту. Работа с системой не должна требовать узкоспециализированной экспертизы на каждом этапе. Даже менее опытный аналитик должен уметь разбираться в срабатываниях, понимать контекст и принимать корректные решения с помощью встроенных подсказок, готовых сценариев и автоматизации.
Подход на базе Data Lake будет набирать популярность. Он отвечает на потребность хранить и анализировать больше данных без линейного роста стоимости классического SIEM.
ИИ и автоматизация будут внедряться через доверие и измеримый эффект. Рынок не ожидает чудес от ИИ, но готов к инструментам, которые уменьшают шум, ускоряют расследование и помогают анализировать контекст угроз.
