Несмотря на широкое распространение систем мониторинга безопасности (SIEM), их эффективное использование остаётся вызовом для большинства компаний. Согласно совместному исследованию Yandex B2B Tech и Кибердома, 80% крупных организаций внедрили SIEM, однако сталкиваются с проблемами эксплуатации. Ключевой барьер — нехватка места для хранения данных, что напрямую бьёт по качеству расследований киберинцидентов.
Около 60% опрошенных компаний признались, что вынуждены сокращать объём собираемых событий безопасности и хранить логи не более 6–12 месяцев. Причиной является высокая ресурсоёмкость и стоимость локальных (on-premises) решений, которые ограничивают масштабирование. Отсутствие ретроспективных данных делает невозможным глубокий анализ сложных атак с длительным жизненным циклом, когда злоумышленники могут находиться в сети незамеченными долгое время.
Исследование, в котором приняли участие 223 компании из финансов, телекома, промышленности и ритейла, выявило и другие барьеры:
* Ложные срабатывания: с проблемой «шума» сталкиваются 43% организаций, что перегружает аналитиков и отвлекает от реальных угроз.
* Высокая стоимость: 33% компаний отмечают дороговизну совокупного владения (TCO), что мешает расширять сбор данных.
* Дефицит кадров: треть респондентов страдает от нехватки квалифицированных специалистов для настройки правил и проведения расследований.
> «Возникает противоречие: чем сложнее и длительнее атака, тем ценнее исторический контекст. Однако именно его компании оптимизируют в первую очередь из-за стоимости хранения и обработки. Если 60% организаций ограничивают сбор событий полугодом, а остальные — годом, это критически снижает шансы на успешное расследование сложных инцидентов», — подчеркнул Евгений Сидоров, директор по информационной безопасности Yandex Cloud.
В качестве решения рынок движется к новой модели — SIEM как платформе управляемой аналитики безопасности. Главным приоритетом при выборе инструмента становятся лёгкость масштабирования и снижение общих затрат. Ключевую роль в этом процессе играют автоматизация и вспомогательные ИИ-инструменты, которые фильтруют «шум», ускоряют расследования и позволяют командам SOC работать эффективнее без найма новых сотрудников.
