SIEM – это «новый NGFW». Почему все устремились в этот сегмент, даже «Яндекс» и VK

«Красный океан»

Первые SIEM-решения (Security Information and Event Management, управление информацией и событиями безопасности) появились еще в середине 2000-х годов. Они пришли на смену устаревших систем обнаружения вторжений IDS. Последние анализировали трафик, основываясь на данных об уже известных атаках и заранее заданном наборе правил, и перестали справляться с возросшим числом киберинцидентов.

Разработчикам пришлось создать более сложную систему, которая могла не только эффективно собирать информацию, но и анализировать ее и выявлять какие-то действительно опасные события. SIEM, например, может следить за тем, какие программы установил сотрудник на свой компьютер, собирать логи с серверов и сетевых устройств и, в конечном итоге, находить любые попытки несанкционированного входа.

Долгое время разработка SIEM-систем была под силу лишь крупным вендорам. До 2020 года в России доминировали продукты от западных разработчиков. Так, были популярны SIEM-решение HPE ArcSight, Tibco Loglogic, IBM QRadar и McAfee Nitro ESM.

Одной из первых российских разработок стало выпущенное в 2015 году решение Positive Technologies – оно называлось MaxPatrol SIEM. В 2016 еще одну программу KOMRAD Enterprise SIEM создало НПО «Эшелон». В дальнейшем свои разработки в этом сегменте появлялись у многих других ИБ-компаний – Security Vision, R-Vision, «Газинформсервис», SearchInform, UserGate.

В конце 2020 года свой SIEM под названием KUMA выпустила «Лаборатория Касперского», а в октябре 2025 года в этот сегмент со своим продуктам вышла ГК «Солар». Всего на рынке сейчас представлено более десятка SIEM-систем, говорят опрошенные SecPost участники рынка кибербезопасности.

По прогнозам аналитиков «Солар», весь рынок SIEM, включая ПО и услуги SOC, достигнет 26 млрд рублей к 2027 году.

Недавно собственные SIEM-системы начали создавать и технологические гиганты – Т-Банк, «Яндекс», VK. По данным источников SecPost на рынке, решения этих компаний сделаны на открытом ПО, а в ближайшее время их планируется выпустить на рынок. О том, что «Яндекс» намерен создать свой SIEM, писал «Коммерсантъ» в начале апреля. В феврале этого года VK объявил о запуске своей аналогичной системы. Со стороны Т-Банка не было сообщений о создании собственной SIEM, однако банк в конце мая представил систему на основе ИИ по автоматическому исправлению и поиску уязвимостей в коде, сообщал портал «Компьютерра».

В пресс-службе VK сообщили SecPost, что у их SIEM есть несколько преимуществ — мощный движок корреляции правил на потоке, благодаря которому специалисты SOC получают углубленную аналитику данных, удобный интерфейс с дашбордами и гибкими настройками, высокая производительность, позволяющая находить аномалии за десятки секунд и возможность длительного хранения телеметрии – сейчас эти данные доступны за целый год.

Представители VK не стали раскрывать, сколько было вложено денег в создание системы. В пресс-службах Т-Банка и Яндекса на запрос SecPost об их SIEM-системах не ответили.

Чем рынок SIEM заинтересовал Яндекс и VK

Опрошенные SecPost специалисты по кибербезопасности говорят, что, на самом деле, все SIEM-решения на рынке друг на друга похожи.

Отличия могут быть лишь в качестве обработки событий, правилах корреляции, скорости работы. Поэтому ранее SIEM-систем от крупных вендеров, той же «Лаборатории Касперского» и Positive Technologies, долгое время было достаточно для мониторинга ИБ-событий, поясняет SecPost представитель департамента информационной безопасности группы Rubytech. Однако с развитием технологий и усложнением киберугроз выросли потребности в использовании более специализированных и гибких решений, на основе которых можно создавать экосистему для мониторинга и реагирования на киберугрозы.

Поэтому многие вендоры стали расширять функционал своих решений, например, внедрять технологии ИИ для аналитики, увеличивать количество поддерживаемых источников «из коробки» и интеграций с другими ИБ-решениями, добавлять к SIEM функционал SOAR (система автоматизации реагирования на инциденты), поясняет старший бизнес-аналитик технологической практики «ТеДо» Марат Валиев.

Для крупных компаний ключевыми требованиями к SIEM-системам являются гибкость настройки и отсутствие ограничений, отмечают в «Авито». «Важна возможность кастомизации под специфические бизнес-процессы с минимальной доработкой, а в идеале – без необходимости внесения изменений в базовую функциональность», – говорит представитель компании. По его словам, критично наличие развитого API для интеграций и возможность масштабирования решения. Также, по его словам, компании обращают внимание на модель развертывания – для многих организаций принципиально важно on-premise размещение данных с полным контролем над информационными потоками.

Малый и средний бизнес часто обращается к опенсорс-технологиям, продолжают в «Авито». «Открытые решения привлекают возможностью избежать лицензионных затрат и получить контроль над исходным кодом. Однако их внедрение сопряжено со значительными техническими вызовами: компании должны самостоятельно создавать правила детектирования угроз, настраивать интеграции и адаптировать систему под свою инфраструктуру», – заключил он.  

Некоторые производители делают упор на автоматизацию реагирования, другие развиваются в сторону продвинутой аналитики и машинного обучения, а кто-то предлагает продвинутые интеграции с собственной экосистемой продуктов, продолжает ведущий эксперт отдела систем мониторинга Центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Николай Волошин.

В последнем направлении как раз и могут начать двигаться VK, Т-Банк и «Яндекс». Так, по словам Марата Валиева, у Т-Банка есть очень интересное решение – Sage. Это не столько SIEM-система, сколько решение класса Observability (системы, позволяющие вести мониторинг своего состояния в режиме онлайн и сами способные определить, что с ними не так – ред.), но оно обладает очень широким функционалом, так что на базе него можно построить масштабируемую SIEM с большими возможностями для кастомизации. «Но такая система довольно сложна в настройке и поддержке, поэтому основными заказчиками могут быть крупные компании, у которых есть собственный зрелый SOC», – поясняет эксперт.

«Яндекс» развивает машинное обучение, поэтому его SIEM-системы могут быть интегрированы с этими решениями, а VK фокусируется на защите коммуникаций и именно с этими решениями может быть объединен созданный корпорацией SIEM, говорят опрошенные разработчики.  «У Яндекса сильная компетенция в работе с большими данными, у VK — экосистемный подход, у Т-Банка — фокус на финансовую специфику. Это делает их решения интересными, хотя зрелость и надежность пока все равно выше у старых игроков», – поясняет Алексей Постригайло, старший партнер IT-интегратора «Энсайн». Решение тех же VK, по мнению Марата Валиева, подойдет для ЦОДов с их большим потоком событий или для крупных промышленных компаний.

То, что «Яндекс», Т-Банк и VK начали создавать свои решения, говорит об их неудовлетворенности существующими разработками вендоров, считает Игорь Корчагин, руководитель департамента информационной безопасности «ИВК». Функционал существующих продуктов просто не покрывает специфические задач, которые ставят эти корпорации. По словам руководителя направления мониторинга и сопровождения систем информационной безопасности «МойОфис» Михаила Черняка, в российских SIEM-решениях не хватает гибких возможностей визуализации данных, способности генераций отчетов по темплейтам, функции внедрения compliance-контроля, а также ML в анализе и корреляции.

«Основным пожеланием к вендорам было бы сделать системы более свободными, модульными, с возможностями разработки и внедрения плагинов», – говорит эксперт. Также российским вендорам стоило бы больше внимания уделять сопровождению коммьюнити. Например, можно дать возможность сторонним разработчикам писать коннекторы к разным продуктам. Подобные разработки можно было бы выкладывать на отдельном портале, обсуждать, делиться экспертизой, добавляет Михаил Черняк.

Поэтому SIEM-системы техногигантов на этом фоне могут быть интересны для участников рынка, они могут стать более приближенными к реальности, в то время как продукты традиционных вендоров обычно развиваются в отрыве от задач, которые решают «безопасники в полях», говорит Игорь Корчагин.

Также для рынка будет интересно и то, что решения «Яндекса» и VK изначально базируются на собственных облачных технологиях. Поэтому шанс у новых игроков составить конкуренцию старым вендорам есть, отмечает Максим Жевнерев.

Однако некоторые разработчики смотрят более скептически на новые продукты. С SIEM в России происходит то, что чуть раньше случилось с рынком NGFW (межсетевых экранов нового поколения – ред.), поясняет генеральный директор компании VolgaBlob Александр Скакунов. «Они были очень востребованными и это привлекло на рынок большое число игроков, превратив сегмент в «красный океан». Однако новоявленные игроки, продолжает он, технически только догоняют лидеров рынка, а заявленная функциональность их решений не успевает за маркетинговым позиционированием.

Кроме того, SIEM-решения от крупных корпораций могут быть слишком глубоко интегрированы в родительскую ИТ-инфраструктуру. Это делает их менее универсальными, а также сложными для переноса на инфраструктуру клиентов. Поэтому технологическим корпорациям придется упаковать свои проекты в полноценные продукты, готовые к интеграции в разнообразные варианты клиентских инфраструктур. Им необходимо адаптировать API, коннекторы, модели данных, дашборды и другие компоненты, заключает Скакунов.

Подводные камни

Другой проблемой новых SIEM-систем могут стать угрозы, возникающие при интеграции. И если малый и средний бизнес сможет на них закрыть глаза, то крупные холдинги игнорировать их не смогут. В пресс-службе «Мегафон» заявили, что видят риски при внедрении новых SIEM в возможной технологической нестабильности, ограниченной документации, потенциальных проблемах с поддержкой и масштабируемостью.

У давно работающих на рынке вендоров здесь есть преимущества – у них больше опыта, т.к. они занимаются разработкой целой линейки ИБ-продуктов, более широкая практика пилотирования и внедрения таких решений в разных компаниях, обращает внимание руководитель отдела развития технологий и перспективных услуг SOC группы компаний «Солар» Максим Жевнерев.

Другой проблемой может стать нехватка кадров на рынке труда, способных работать с новым ПО.  Также могут возникнуть сложности с миграцией на новые решения с текущего продукта и недостаточная интеграция новой SIEM с другими решениями, отмечает менеджер по развитию UserGate SIEM Дмитрий Чеботарев.

Кроме того, в новой системе могут быть какие-то уязвимости. Также новые решения могут быть недостаточно производительными, добавляет Марат Валиев. При использовании новых SIEM-систем разработчики не застрахованы от большого число ложных срабатываний.

Поэтому специалисты по кибербезопасности рекомендуют дважды думать прежде, чем внедрять новые SIEM. Технический директор ARinteg Максим Деев советует вначале попробовать пилотный проект и тщательно проверить на нем заявленный функционал. Часто бывает, что функции, которые презентует компания, отсутствуют, их обещают дать в обновлениях, к примеру, через год.

Однако, несмотря на все возможные подводные камни, шансы у новых SIEM-систем есть, признают эксперты. Они могут быть дешевле и более подходить для решения каких-то специфических задач.