SIEM разгоняется с пробуксовками

Компания "СёрчИнформ" провела исследование практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. В опросе приняли участие 300 коммерческих, государственных и некоммерческих организаций из разных отраслей экономики. Особо отмечается то обстоятельство, что 58% опрошенных подпадают под регулирование объектов критической информационной структуры (КИИ), где использование систем данного класса является фактически обязательным. Как показало исследование, к началу 2022 г. не более 25% российских компаний были оснащены SIEM-системами. Среди тех, кто относится к КИИ, данный уровень составляет около трети. Почти пятая часть опрошенных (19%) заявляет, что у них отсутствуют задачи, которые должны решать системы мониторинга событий. В сфере здравоохранения доля таких ответов почти втрое выше (56%). По мнению аналитиков "СёрчИнформ", это связано с тем, что руководство и ответственные за ИТ и ИБ в учреждениях просто не знают о том, что внедрение SIEM является обязательным согласно разного рода нормативным документам. Главными препятствиями для внедрения SIEM являются отсутствие бюджетов, сложность внедрения и отсутствие кадров. Так, 37% опрошенных заявили о том, что им не удалось согласовать внедрение по причине высокой стоимости, а 47% хоть и внедрили, но при этом согласование бюджета стало главной сложностью в ходе проекта. Сложность внедрения стала препятствием для 70% опрошенных. Из тех, кто уже внедрили SIEM, почти у половины (46%) возникли сложности с настройкой систем, которые не удалось решить самостоятельно. Отсутствие кадров стало непреодолимым препятствием для внедрения SIEM в 20% организаций. При этом проблема отсутствия специалистов стоит перед 58% тех, кто внедрил данные системы. "Широкое внедрение SIEM тормозит скорее имидж этого класса продуктов как "дорогих и сложных", предназначенных исключительно для крупных компаний. Однако на деле все зависит от конкретного решения. Так, идеальная SIEM, судя по нашему опросу, должна быть недорогой на старте и в эксплуатации, с хорошим функционалом и соответствующей требованиям регуляторов. SIEM регулярно используют не только ИТ-специалисты, но и специалисты других профилей, которые могут не иметь специальной подготовки администратора или разработчика. Поэтому большинство респондентов рассчитывают на расширенную поддержку вендора: помощь в обучении, доступ к базе знаний, помощь в кастомизации и настройке системы. В этом смысле разворот рынка к отечественным SIEM заказчикам только на руку: российские разработчики ближе к клиенту и лучше понимают его запрос", – комментирует результаты исследования системный аналитик "СёрчИнформ" Павел Пугач. Также авторы исследования обращают внимание на то, что 12% опрошенных считают, что у них уже есть средства, которые позволяют решать задачи, свойственные для SIEM. Но при этом объективно соответствующий инструментарий отсутствует: используют SOC и/или SOAR около 6% опрошенных, а EDR/XDR 3%. Вместе с тем, в "Обзоре мирового и российского рынков SIEM-систем 2022" его автор Анастасия Сапрыкина обращает внимание на то обстоятельство, что функции SIEM, наряду с EDR/XDR и управляемыми службами обнаружения и реагирования, могут выполнять и платформы сбора и анализа событий. Их первичная функция связана с выявлением не только ИБ, но и ИТ-инцидентов, например, ранних симптомов, указывающих на выход из строя оборудования. По данным исследования "Прогноз развития рынка кибербезопасности в Российской Федерации на 2022–2026 годы", проведенного Центром стратегических разработок (ЦСР), класс систем защиты ИТ-инфраструктуры, куда входят SIEM системы, по итогам 2021 года принес 17 млрд руб. Это около 13% от общего объема ИБ-рынка в России. По данным ЦСР, в среднем на российском ИБ-рынке на зарубежные системы по итогам 2021 года приходилось 39%. В сегменте SIEM ситуация была другой. "По данным IDC до февраля 2022 года иностранные вендоры занимали 60% рынка SIEM. Лидерами среди них были IBM QRadar (25,15%) и Micro Focus ArcSight (25,5%). 6,9% приходилось на Splunk, 2% на AlienVault и 1% на LogRythm", - такие данные привел Павел Пугач. При этом на момент ухода зарубежных вендоров российские разработчики предложили SIEM-системы в достаточном количестве. К слову, процесс ухода начался еще до февраля текущего года. Первым громким инцидентом стал уход Splunk с российского рынка еще в 2019 году, правда, он продолжил выполнять контрактные обязательства до истечения срока договоров. По оценкам главного архитектора "Информзащиты" Павла Демидова, в апреле текущего года на рынке было представлено шесть российских SIEM-систем, у которых имелись реальные внедрения. Недостаток решений он зафиксировал лишь в таких сегментах как брокеры безопасного доступа к облакам (CASB), пограничные сервисы безопасного доступа (SASE) и средства защиты контейнеров. Главным риском, как предупреждает Павел Демидов, является только замедление развития отечественных продуктов вследствие ослабления конкуренции. "После массового ухода с российского рынка иностранных компаний – в том числе производителей SIEM-систем – у отечественных игроков появились новые широкие возможности. Уже можно говорить о фундаментальных изменениях, фактически приведших к принципиально новому образу рынка ИТ в России, где ключевую роль начали играть российские разработчики решений, - уверен менеджер по развитию UserGate Иван Чернов. - Поэтому, говоря о драйверах или новых точках роста бизнеса в отрасли информационных технологий можно уверенно называть главную из них – новую конфигурацию рынка без зарубежных компаний, с уже сформированными на базе иностранных решений конкретными ожиданиями и спросе всех категорий российских пользователей. Проще говоря, иностранные платформы уже недоступны, а российские компании хотят именно такого условно заданного "западными" стандартами уровня эффективности и клиентского сервиса". А вот на мировом рынке, по данным Gartner, наблюдается стагнация как в финансовых показателях (за три года рынок вырос с $3,55 млрд до $3,58 млрд), так и по количеству игроков. При этом аналитики Gartner фиксируют недовольство потребителей вследствие недостаточной эффективности SIEM-систем в борьбе с актуальными угрозами. По оценкам ЦСР, к 2026 году объем рынка систем защиты ИТ-инфраструктуры вырастет в четыре раза, до 68 млрд руб. Весь ИБ-рынок вырастет в 2,5 раза. При этом B2B- и B2G-сегменты будут практически полностью занимать российские решения. "Ситуация для российских вендоров выглядит в целом позитивно. Они широко представлены на нашем рынке и кооперативно имеют солидный портфель продуктов и сервисов. Участники рынка смогут быстро заменить широкий ряд зарубежных решений и в течение ближайших лет забрать практически весь рынок. Основная часть освобождаемой доли рынка будет освоена в течение ближайших 2–3 лет на существующих наработках и решениях российских вендоров. Разработка недостающих решений может занять 2–5 лет, прежде чем продукты выйдут на должный уровень качества", - говорится в отчете по результатам исследования "Прогноз развития рынка кибербезопасности в Российской Федерации на 2022–2026 годы". "Почти 60% рынка освобождается, так как чаще всего SIEM-системы нужны компаниям, которые попадают под требования импортозамещения (250 указ президента РФ) – это государственные организации, субъекты КИИ. Также компании, которым нужно использовать защитные средства, сертифицированные ФСТЭК. Иностранные решения по умолчанию не имеют сертификации, так как она предполагает передачу исходного кода на проверку в российскую лабораторию, а зарубежные вендоры на такое не идут. Поэтому у российских SIEM-систем хорошие перспективы повысить продажи и закрепиться на рынке", - считает Павел Пугач. По его оценке, шансы есть даже у молодых продуктов без громкого имени. По мнению ЦСР, главными драйверами роста на российском ИБ-рынке являются рост количества кибератак, введение ответственности для первых лиц за поддержание кибербезопасности, прямой запрет на приобретение иностранного защитного ПО для объектов КИИ и ряда других, определенных указом №250, меры по поддержке отрасли, которые касаются не только вендоров, но и потенциальных заказчиков, а также ужесточение требований регуляторов. Павел Пугач уточняет: "Среди законов драйвером был и остается 187-ФЗ. Также недавний указ № 250, который не принуждает покупать определенные защитные решения, но заставляет тщательно выбирать наиболее эффективное ПО для мониторинга уязвимостей, с этой задачей справляются SIEM-решения. Кроме того, недавние поправки в 152-ФЗ указывают компаниям на то, что все результаты расследований инцидентов с ПДн нужно предоставлять в ГосСОПКа в течение трех суток, с чем может помочь SIEM". "Новый драйвер развития рынка – полный перезапуск его конъюнктуры – появился стихийно, под влиянием быстро меняющихся внешних обстоятельств и на ближайшие несколько лет останется главным фактором, определяющим ландшафт всей ИТ-отрасли в России, включая вопросы продуктового развития SIEM-систем. Не все российские пользователи сегодня с готовностью включают SIEM в периметр своей информационной безопасности – прежде всего потому, что считают, что это дорого, сложно и отвлекает внутренние ресурсы. Но нужно признать – альтернативы SIEM-систем в силу ряда причин не существует. Другое дело, российские разработчики уже сегодня предлагают более простые, дружественные пользователю ПО и сервис, которые подходят для быстрого внедрения там, где требуется комплексное решение вопросов информационной безопасности корпоративных сетей самого разного размера от малого и среднего бизнеса до крупных корпораций с распределенной инфраструктурой", - уверен Иван Чернов. Ссылка на источник