По данным «СёрчИнформ», SIEM-системами в 2021 году были оснащены только от 14% до 25% компаний. Основной акцент во время опроса делался на проблемы эксплуатации и внедрения систем, в т. ч. на субъектах КИИ (58% опрошенных), где применение софта фактически обязательно.
Как показал опрос, две трети из них не оснащены SIEM-системой.
Представители некоторых субъектов КИИ заявляют, что не нуждаются в системах мониторинга событий. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их как субъекты КИИ обязывают нормативные требования. Среди всех опрошенных об отсутствии задач для SIEM заявили 19% компаний.
Еще 12% участников опроса уверены, что имеющиеся у них средства ИБ вполне компенсируют отсутствие SIEM. Это субъективные оценки: на деле у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC/SOAR используют 6% опрошенных, EDR/XDR — 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.
Но главные причины, которые тормозят внедрения — это отсутствие бюджетов, сложность внедрения и отсутствие кадров для работы с SIEM.
Нехватка бюджетов
37% опрошенных сообщили, что считают SIEM слишком дорогой — они не смогли найти средства на закупку и отказались от идеи. Даже среди компаний, где SIEM установлена, 47% назвали согласование бюджета на закупку самой большой сложностью, связанной с решением-
Ситуацию усложняет то, что эксплуатация SIEM может предполагать дополнительные затраты: на профильного специалиста для работы с ней, для оплаты технической поддержки и доработок, на расширение числа лицензий, если они рассчитываются по пиковому трафику (число событий от источников в единицу времени), а лимиты были превышены.
Сложности внедрения
Совокупно более 70% респондентов считают работу с SIEM сложной — опасаются чрезмерных трудозатрат на внедрение, настройку и кастомизацию. Для 14% опрошенных компаний без SIEM потенциальные трудозатраты на внедрение стали главной причиной отказа от закупки.
Те компании, которые уже владеют системой, жалуются на сложности кастомизации. Недостаточно функционала, доступного «из коробки»: готовых коннекторов для подключения источников не хватает трети, правил корреляции, т. е. вычленения инцидента — 17% респондентов. Справиться с проблемой самостоятельно удается только 46% компаний, большинство же прибегает к помощи вендоров и интеграторов. Это наглядно демонстрирует еще одну проблему — нехватку компетентных кадров для работы с SIEM.
Проблема с кадрами
Для каждой пятой организации отсутствие профильных специалистов послужило причиной для отказа от закупки решения. На нехватку кадров пожаловались и 58% компаний, где SIEM уже внедрена.
Исследование показало, что только 11% компаний смогли выделить для работы с SIEM профильного специалиста. В подавляющем большинстве случаев это дополнительная нагрузка на ИБ-специалистов.
