Исследование Yandex B2B Tech и Кибердома показало, что большинство крупных российских компаний уже используют SIEM-системы, но не всегда могут раскрыть их потенциал. Такие решения нужны для мониторинга событий безопасности, выявления подозрительной активности и расследования инцидентов, однако их эффективность сильно зависит от объёма и глубины хранимых данных.
SIEM используют около 80% крупных российских компаний. На первый взгляд это высокий показатель, но само наличие системы ещё не означает, что она работает максимально полезно. После внедрения организациям приходится решать вопросы хранения логов, настройки правил, обработки ложных срабатываний, масштабирования инфраструктуры и поиска специалистов, которые умеют правильно анализировать события.
Главная проблема связана с нехваткой места для хранения данных. Около 60% компаний вынуждены сокращать объём собираемых событий безопасности и хранить их не дольше 6–12 месяцев. Это особенно опасно при расследовании сложных атак, которые могут развиваться постепенно и оставлять следы задолго до обнаружения инцидента.
Если исторические данные слишком быстро удаляются, аналитики теряют важный контекст. Им сложнее понять, когда началась атака, какие системы были затронуты, как злоумышленники перемещались внутри инфраструктуры и какие события связаны между собой. В результате расследование становится менее точным, а часть признаков атаки может остаться незамеченной.
Причина ограничений часто заключается в стоимости локальных SIEM-решений. On-premises-инфраструктура требует серверов, хранилищ, лицензий, обслуживания и постоянного расширения мощностей. Чем больше компания собирает данных, тем дороже становится эксплуатация системы. Поэтому бизнес начинает экономить на хранении, хотя именно ретроспектива часто помогает раскрывать сложные инциденты.
Хранение данных — не единственный барьер. 43% компаний жалуются на большое количество ложных срабатываний. Это создаёт дополнительную нагрузку на специалистов по безопасности: им приходится тратить время на проверку событий, которые не связаны с реальными угрозами. В результате команда может пропустить действительно опасный сигнал среди большого потока технического шума.
Ещё 33% организаций называют проблемой высокую совокупную стоимость владения SIEM. Столько же компаний сталкиваются с нехваткой квалифицированных специалистов, способных вручную настраивать правила, поддерживать систему и проводить расследования. Это показывает, что проблема не только в технологиях, но и в людях: даже мощная платформа требует опытной команды.
На рынке постепенно меняется представление о SIEM. Если раньше такие системы воспринимались прежде всего как инструмент сбора и хранения событий, то теперь компании ждут от них управляемой аналитики безопасности. То есть важно не просто собрать миллионы логов, а быстро понять, что среди них действительно опасно, где нужен специалист и какие действия нужно предпринять.
Поэтому растёт интерес к SaaS-модели, интеграции с Data Lake, автоматизации и ИИ-инструментам. Такие подходы могут помочь хранить больше данных, быстрее масштабировать инфраструктуру, снижать количество ручных операций и ускорять расследования. ИИ в этом случае не заменяет аналитика, а помогает ему быстрее находить связи, отсекать шум и фокусироваться на реальных инцидентах.
Исследование основано на данных 223 компаний из разных отраслей, включая финансы, телеком, промышленность и ритейл. Его результаты показывают, что российский рынок SIEM движется к новой модели, где важны не только функции мониторинга, но и экономическая эффективность, масштабируемость и удобство работы для команд безопасности.
Главный смысл новости в том, что компании всё чаще упираются не в отсутствие SIEM, а в стоимость и сложность их нормальной эксплуатации. Системы безопасности есть у большинства крупных организаций, но нехватка хранилища, ложные срабатывания и дефицит специалистов снижают их эффективность. Поэтому рынок будет двигаться к более гибким, автоматизированным и облачным решениям, которые помогают расследовать инциденты без постоянного расширения штата и инфраструктуры.