13.09.2022
© ComNews

Компания "СёрчИнформ" провела исследование практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. В опросе приняли участие 300 коммерческих, государственных и некоммерческих организаций из разных отраслей экономики. Особо отмечается то обстоятельство, что 58% опрошенных подпадают под регулирование объектов критической информационной структуры (КИИ), где использование систем данного класса является фактически обязательным.

Как показало исследование, к началу 2022 г. не более 25% российских компаний были оснащены SIEM-системами. Среди тех, кто относится к КИИ, данный уровень составляет около трети.

Почти пятая часть опрошенных (19%) заявляют, что у них отсутствуют задачи, которые должны решать системы мониторинга событий. В сфере здравоохранения доля таких ответов почти втрое выше (56%). По мнению аналитиков "СёрчИнформ", это связано с тем, что руководство и ответственные за ИТ и ИБ в учреждениях просто не знают, что внедрение SIEM является обязательным согласно разного рода нормативным документам.

Главными препятствиями для внедрения SIEM являются отсутствие бюджетов, сложность внедрения и отсутствие кадров. Так, 37% опрошенных заявили, что им не удалось согласовать внедрение по причине высокой стоимости, а 47% хоть и внедрили, но при этом согласование бюджета стало главной сложностью в ходе проекта. Сложность внедрения стала препятствием для 70% опрошенных. Из тех, кто уже внедрил SIEM, почти у половины (46%) возникли сложности с настройкой систем, которые не удалось решить самостоятельно. Отсутствие кадров стало непреодолимым препятствием для внедрения SIEM в 20% организаций. При этом проблема отсутствия специалистов стоит перед 58% тех, кто внедрил данные системы.

"Широкое внедрение SIEM тормозит скорее имидж этого класса продуктов как "дорогих и сложных", предназначенных исключительно для крупных компаний. Однако на деле все зависит от конкретного решения. Так, идеальная SIEM, судя по нашему опросу, должна быть недорогой на старте и в эксплуатации, с хорошим функционалом и соответствующей требованиям регуляторов. SIEM регулярно используют не только ИТ-специалисты, но и специалисты других профилей, которые могут не иметь специальной подготовки администратора или разработчика. Поэтому большинство респондентов рассчитывают на расширенную поддержку вендора: помощь в обучении, доступ к базе знаний, помощь в кастомизации и настройке системы. В этом смысле разворот рынка к отечественным SIEM-заказчикам только на руку: российские разработчики ближе к клиенту и лучше понимают его запрос", - комментирует результаты исследования системный аналитик "СёрчИнформ" Павел Пугач.

Также авторы исследования обращают внимание, что 12% опрошенных считают, что у них уже есть средства, которые позволяют решать задачи, свойственные для SIEM. Но при этом объективно соответствующий инструментарий отсутствует: используют SOC и/или SOAR около 6% опрошенных, а EDR/XDR - 3%.

Вместе с тем в "Обзоре мирового и российского рынков SIEM-систем 2022" его автор Анастасия Сапрыкина обращает внимание на то обстоятельство, что функции SIEM, наряду с EDR/XDR и управляемыми службами обнаружения и реагирования, могут выполнять и платформы сбора и анализа событий. Их первичная функция связана с выявлением не только ИБ, но и ИТ-инцидентов - например, ранних симптомов, указывающих на выход из строя оборудования.

По данным исследования "Прогноз развития рынка кибербезопасности в Российской Федерации на 2022-2026 гг.", проведенного Центром стратегических разработок (ЦСР), класс систем защиты ИТ-инфраструктуры, куда входят SIEM, по итогам 2021 г. принес 17 млрд руб. Это около 13% от общего объема ИБ-рынка в России.

По данным ЦСР, в среднем на российском ИБ-рынке на зарубежные системы по итогам 2021 г. приходилось 39%. В сегменте SIEM ситуация была другой. "По данным IDC, до февраля 2022 г. иностранные вендоры занимали 60% рынка SIEM. Лидерами среди них были IBM QRadar (25,15%) и Micro Focus ArcSight (25,5%). 6,9% приходилось на Splunk, 2% на AlienVault и 1% на LogRythm", - такие данные привел Павел Пугач.

При этом на момент ухода зарубежных вендоров российские разработчики предложили SIEM-системы в достаточном количестве. К слову, процесс ухода начался еще до февраля текущего года. Первым громким инцидентом стал уход Splunk с российского рынка еще в 2019 г., правда, он продолжил выполнять контрактные обязательства до истечения срока договоров.

По оценкам главного архитектора "Информзащиты" Павла Демидова, в апреле текущего года на рынке было представлено шесть российских SIEM, у которых имелись реальные внедрения. Недостаток решений он зафиксировал лишь в таких сегментах, как брокеры безопасного доступа к облакам (CASB), пограничные сервисы безопасного доступа (SASE) и средства защиты контейнеров. Главным риском, как предупреждает Павел Демидов, является только замедление развития отечественных продуктов вследствие ослабления конкуренции.

"После массового ухода с российского рынка иностранных компаний, в том числе производителей SIEM, у отечественных игроков появились новые широкие возможности. Уже можно говорить о фундаментальных изменениях, фактически приведших к принципиально новому образу рынка ИТ в России, где ключевую роль начали играть российские разработчики решений, - уверен менеджер по развитию UserGate Иван Чернов. - Поэтому, говоря о драйверах или новых точках роста бизнеса в отрасли информационных технологий, можно уверенно называть главную из них - новую конфигурацию рынка без зарубежных компаний, с уже сформированными на базе иностранных решений конкретными ожиданиями и спросом всех категорий российских пользователей. Проще говоря, иностранные платформы уже недоступны, а российские компании хотят именно такого условно заданного "западными" стандартами уровня эффективности и клиентского сервиса".

А вот на мировом рынке, по данным Gartner, наблюдается стагнация как в финансовых показателях (за три года рынок вырос с $3,55 млрд до $3,58 млрд), так и по количеству игроков. При этом аналитики Gartner фиксируют недовольство потребителей вследствие недостаточной эффективности SIEM-систем в борьбе с актуальными угрозами.

По оценкам ЦСР, к 2026 г. объем рынка систем защиты ИТ-инфраструктуры вырастет в четыре раза, до 68 млрд руб. Весь ИБ-рынок вырастет в 2,5 раза. При этом B2B- и B2G-сегменты будут практически полностью занимать российские решения. "Ситуация для российских вендоров выглядит в целом позитивно. Они широко представлены на нашем рынке и кооперативно имеют солидный портфель продуктов и сервисов. Участники рынка смогут быстро заменить широкий ряд зарубежных решений и в течение ближайших лет забрать практически весь рынок. Основная часть освобождаемой доли рынка будет освоена в течение ближайших двух-трех лет на существующих наработках и решениях российских вендоров. Разработка недостающих решений может занять два-пять лет, прежде чем продукты выйдут на должный уровень качества", - говорится в отчете по результатам исследования "Прогноз развития рынка кибербезопасности в Российской Федерации на 2022-2026 гг.".

"Почти 60% рынка освобождается, так как чаще всего SIEM-системы нужны компаниям, которые попадают под требования импортозамещения (250-й указ президента РФ) - это государственные организации, субъекты КИИ. Также компании, которым нужно использовать защитные средства, сертифицированные ФСТЭК. Иностранные решения по умолчанию не имеют сертификации, так как она предполагает передачу исходного кода на проверку в российскую лабораторию, а зарубежные вендоры на такое не идут. Поэтому у российских SIEM-систем хорошие перспективы повысить продажи и закрепиться на рынке", - считает Павел Пугач. По его оценке, шансы есть даже у молодых продуктов без громкого имени.

По мнению ЦСР, главными драйверами роста на российском ИБ-рынке являются рост количества кибератак, введение ответственности для первых лиц за поддержание кибербезопасности, прямой запрет на приобретение иностранного защитного ПО для объектов КИИ и ряда других, определенных указом №250, меры по поддержке отрасли, которые касаются не только вендоров, но и потенциальных заказчиков, а также ужесточение требований регуляторов.

Павел Пугач уточняет: "Среди законов драйвером был и остается 187-ФЗ. Также недавний указ №250, который не принуждает покупать определенные защитные решения, но заставляет тщательно выбирать наиболее эффективное ПО для мониторинга уязвимостей, и с этой задачей справляются SIEM-решения. Кроме того, недавние поправки в 152-ФЗ указывают компаниям на то, что все результаты расследований инцидентов с ПДн нужно предоставлять в ГосСОПКа в течение трех суток, с чем может помочь SIEM".

"Новый драйвер развития рынка - полный перезапуск его конъюнктуры - появился стихийно, под влиянием быстро меняющихся внешних обстоятельств и на ближайшие несколько лет останется главным фактором, определяющим ландшафт всей ИТ-отрасли в России, включая вопросы продуктового развития SIEM-систем. Не все российские пользователи сегодня с готовностью включают SIEM в периметр своей информационной безопасности - прежде всего потому, что считают, что это дорого, сложно и отвлекает внутренние ресурсы. Но нужно признать: альтернативы SIEM-систем в силу ряда причин не существует. Другое дело, российские разработчики уже сегодня предлагают более простые, дружественные пользователю ПО и сервис, которые подходят для быстрого внедрения там, где требуется комплексное решение вопросов информационной безопасности корпоративных сетей самого разного размера от малого и среднего бизнеса до крупных корпораций с распределенной инфраструктурой", - уверен Иван Чернов.

Читайте также

Новости