Yandex B2B Tech: 60% компаний вынуждены экономить на хранении данных в SIEM-системах
Кодик кратко объясняет суть статьи
Исследование Yandex B2B Tech и Кибердома показало, что 80% крупных йских компаний используют SIEM-системы, но сталкиваются с трудностями в их эффективной эксплуатации. Основная проблема — нехватка хранилища, из-за которой 60% организаций сокращают объём собираемых данных и хранят их не более 6–12 месяцев. Это снижает качество расследований, особенно при атаках с длительным циклом. Локальные SIEM-решения требуют высоких затрат, что ограничивает их масштабирование. Дополнительные сложности — ложные срабатывания (43%), высокая стоимость владения (33%) и нехватка квалифицированных специалистов. Эксперты отмечают переход рынка от простого сбора событий к управляемой аналитике безопасности. Растёт спрос на SaaS-решения, интеграцию с Data Lake, автоматизацию и ИИ-инструменты, которые снижают нагрузку на аналитиков, ускоряют расследования и повышают эффективность. Исследование, основанное на данных 223 компаний, указывает на формирование новой модели SIEM — с акцентом на масштабируемость, снижение затрат и поддержку аналитиков технологиями.
Читайте в Telegram
|
Yandex B2B Tech и Кибердом представили совместное исследование российского рынка SIEM-решений.
Из-за нехватки места для хранения данных большинству компаний приходится сокращать объём собираемых событий безопасности, что снижает качество расследований инцидентов.
Системы мониторинга безопасности SIEM используют 80 % крупных российских компаний, однако после внедрения далеко не всем удаётся эксплуатировать их эффективно. Как показало совместное исследование Yandex B2B Tech и Кибердома, частая проблема — нехватка места для хранения собираемых данных, из-за чего страдает качество расследований инцидентов безопасности.
Около 60% компаний вынуждены сокращать объём собираемых событий безопасности и хранить их не дольше 6–12 месяцев. Причина в том, что локальные (on-premises) SIEM-решения требуют значительных ресурсных и финансовых затрат — это ограничивает их масштабирование и снижает экономическую эффективность в долгосрочной перспективе. При этом отсутствие ретроспективных данных напрямую влияет на качество расследований, особенно когда речь идёт об атаках с длительным жизненным циклом.
Ограничение объёма хранимых данных — не единственная сложность. 43% компаний сталкиваются с большим числом ложных срабатываний, что повышает нагрузку на аналитиков и отвлекает их от работы с реальными угрозами. Ещё 33% отмечают высокую совокупную стоимость владения такими решениями, которая сдерживает развитие новых сценариев мониторинга. Треть компаний называют барьером и нехватку квалифицированных специалистов для ручной настройки правил и расследований.
По словам руководителя бизнес-клуба Кибердома Ольги Орденовой, результаты исследования показывают, что российский рынок SIEM переходит от модели сбора событий к управляемой аналитике безопасности.
«Становятся востребованными решения, снижающие операционную нагрузку: с минимальной ручной настройкой, возможностью быстрого масштабирования и встроенными инструментами для ускорения расследований», — отметила она.
Директор по информационной безопасности Yandex Cloud Евгений Сидоров обратил внимание на ключевое противоречие: чем сложнее атаки и длиннее их жизненный цикл, тем ценнее исторический контекст — но именно его чаще всего сокращают из-за стоимости хранения.
«В качестве решения мы видим высокий потенциал у SaaS-модели SIEM-решений, интеграции с Data Lake, встроенной автоматизации и AI-инструментов. Всё это не заменит аналитика, а поможет ему в разы быстрее разобраться в инциденте», — пояснил он.
Исследование основано на опросе 223 компаний из разных отраслей — от финансового сектора и телекоммуникаций до промышленности и ритейла. Его авторы делают вывод, что рынок движется к новой модели SIEM — как платформы управляемой аналитики безопасности, где главными критериями выбора становятся лёгкость масштабирования под растущие объёмы данных и снижение общих затрат. Автоматизация и вспомогательные ИИ-инструменты при этом играют роль катализатора: они ускоряют расследования и отсеивают «шум», позволяя командам мониторинга работать эффективнее без расширения штата.
