От базы к зрелости: исследование рынка SIEM совместно с проектом Кибердом

Опрос 223 компаний, использующих SIEM, показывает: 84% организаций применяют систему для мониторинга событий в реальном времени, 81% — для расследования инцидентов, 80% — для корреляции и выявления угроз. Однако продвинутые сценарии используются реже, что подчёркивает разрыв между базовым мониторингом и более зрелыми практиками.

При этом существуют и эксплуатационные барьеры: 43% сталкиваются с ложными срабатываниями, 33% — отмечают высокую стоимость владения, и ещё 33% компаний говорят о нехватке квалифицированных специалистов. 

Команда Yandex Cloud совместно с проектом Кибердом опросила представителей компаний по всей России из IT, ритейла, промышленности, банкинга, телекоммуникаций и образования. Все респонденты используют ИБ‑решения и уделяют особое внимание защите бизнес‑процессов. Под катом делимся основными результатами.

Результаты исследования отмечают, что рынок SIEM‑систем достиг точки зрелости: большинство компаний уже используют SIEM для мониторинга, корреляции событий и расследования инцидентов. При этом зрелость внедрения не означает эффективную эксплуатацию. Исследование демонстрирует, что ключевые ограничения смещаются от вопроса потребности в продукте к вопросам стоимости владения, качества данных, доступности экспертизы и способности команды использовать SIEM проактивно.

SIEM остаётся базовым элементом SOC, но чаще применяется для реактивных задач. При этом архитектура и экономика хранения ограничивают видимость: 

Около 60% компаний ограничивают сбор событий;

55% хранят данные до полугода;

Только 16% хранят данные более года.

Переход к проактивной безопасности пока сдержан:Threat Hunting, форензика, SOAR и поведенческая аналитика используются заметно реже базовых SIEM‑сценариев. Data Lake становится ответом