От базы к зрелости: исследование рынка SIEM совместно с проектом Кибердом

Итак, у вас на проде крутится SIEM, и вы считаете, что «мы защищены». Yandex Cloud совместно с Кибердомом опросили 223 компании по всей России — от ритейла до банкинга — и цифры показывают картину, которую каждый бэкендер видел в логах, но предпочитал не замечать. Коротко: SIEM есть у всех, но работает он у единиц так, как задумано вендором на демке.

Базовые сценарии: есть. Продвинутые — у кого как

84% компаний используют SIEM для мониторинга событий в реальном времени. 81% — для расследования инцидентов. 80% — для корреляции и выявления угроз. Казалось бы, зрелость. Но дальше начинается знакомая история: Threat Hunting — около 42%, автоматизация реагирования (SOAR) — 38%. Проактивная безопасность остаётся лакшери, а не стандартом.

Для тех из нас, кто поднимал мониторинг в три часа ночи после кернел-паника на ноде, это звучит привычно: «логи собираются, алирты летят, но никто не копает глубже, пока не пахнет горелым». Статистика подтверждает — большинство SOC по-прежнему работают в реактивном режиме. Data Lake для аналитики безопасности используют 34% компаний, ещё 31% планируют. Но пока озеро — скорее слайд из roadmap, чем рабочий инструмент.

Проблемы эксплуатации: классический треугольник боли

43% респондентов жалуются на ложные срабатывания. 33% — на высокую стоимость владения. Ещё 33% — на нехватку квалифицированных специалистов. Три проблемы взаимосвязаны и образуют замкнутый круг, который знает каждый, кто настраивал алертинг: ложные срабатывания нагружают аналитиков, нехватка людей ухудшает качество настройки, высокая цена тормозит масштабирование и развитие новых сценариев.

Отдельный костыль — ограничение данных. 60% компаний ограничивают объём собираемых событий. 55% хранят данные не более полугода. И только 16% — больше года. Архитектура хранения сдерживает видимость: ретроспективный анализ работает с обрезанным датасетом, а каждое расширение зоны покрытия ведёт к росту операционной нагрузки. Если SIEM не масштабируется экономически, получаем типичную ситуацию: продукт есть, потенциал не раскрыт, команда тонет в ручной рутине.

Контекст: рынок зрелый, но не сытый

Исследование «Кода Безопасности» (цитата из spbIT) добавляет общий фон. Российский ИБ-рынок в 2025 году вырос на 17%, достигнув 211 млрд руб. Сетевая безопасность — крупнейший сегмент (48 млрд руб, +17%). DLP — 17 млрд руб, рост 26%. При этом доля топ-10 вендоров снижается второй год подряд: рынок насыщается, заказчики выбирают точечно, а регуляторика перестаёт быть единственным драйвером покупок. SIEM превращается из «checkbox»-продукта в инфраструктуру, к которой предъявляют требования к экономике и реальной отдаче.

Что это значит на практике

Для devops-команды, обслуживающей прод: если у вас SIEM стоит как коробка с автобусом алертов — вы в большинстве. Проблема не в том, что продукт плох, а в том, что сбор данных, правила корреляции и хранение не масштабируются вместе с инфраструктурой. Компании вынуждены ограничивать объём событий, а значит — слепые зоны растут с каждым новым сервисом.

Практический чеклист на ближайший спринт:

# Проверить retention policy — если < 6 мес, ретроспектива мертва
# Оценить ratio ложных/реальных алертов за последний месяц
# Посмотреть, какие источники данных НЕ идут в SIEM
# Задать вопрос: кто и как часто делает Threat Hunting?

Вывод прост: SIEM на проде — не значит защищённый прод. 43% ложных срабатываний, 60% компаний с ограничением сбора данных и хранение в полгода — это не зрелость, это базовый уровень с костылями. Делайте бэкапы, проверяйте ретеншн и не верьте дашборду, который горит зелёным.