От SIEM к XDR: как глобальные и отечественные тенденции формируют новое ядро киберзащиты

Подобная картина наблюдается, например, с ИИ-помощниками и так называемым «расширенным» функционалом, что в результате создаёт архитектурно уязвимые системы. Эту же тенденцию можно увидеть и на рынке решений категории SIEM.

С финансовой стороны, интерес индустрии информационной безопасности к SIEM вполне обоснован. Согласно данным Global Industry Analysts, мировой рынок SIEM в 2024 году достиг приблизительно 13,4 млрд долларов, а к 2030 году может вырасти до 32,8 млрд долларов, демонстрируя среднегодовой темп роста около 16%. Это свидетельствует о стабильной потребности компаний в усовершенствованных инструментах для выявления, реагирования и управления событиями в сфере безопасности. Среди ключевых факторов роста аналитики отмечают стремительное увеличение объёмов телеметрии из облачных и гибридных сред, ужесточение нормативных требований к киберустойчивости, а также дефицит квалифицированных кадров в центрах мониторинга безопасности (SOC), с которым сталкиваются как MSSP-провайдеры, так и внутренние команды. Также наблюдается повышение спроса на SIEM-услуги со стороны среднего бизнеса, который постепенно формирует новую целевую аудиторию в сегменте анализа, мониторинга и противодействия киберугрозам. Сдвиг от реактивных методов защиты к проактивным подходам, основанным на поведенческой аналитике и искусственном интеллекте, дополнительно стимулирует технологическое развитие этого направления.

Российский рынок SIEM в целом следует аналогичной динамике, но имеет свои особенности. По оценкам аналитиков B1, сегмент «Анализ, контроль и реагирование на угрозы ИБ» в 2024 году оценивался примерно в 36 млрд рублей, а его потенциал к 2030 году составляет около 77 млрд рублей. Доля SIEM-решений в рамках этого сегмента уже приближается к 26%. Согласно данным «Солара», объём рыночного спроса на решения класса SIEM в 2024 году достиг 9,4 млрд рублей, с прогнозом роста до 14,1 млрд к 2027 году.

Как и в мире, этот рост обусловлен рядом факторов. Для крупных компаний основными вызовами остаются потребность в централизованном сборе данных со всех информационных систем, чрезмерная нагрузка на сотрудников SOC и высокие трудозатраты на рутинные операции. В результате это снижает эффективность работы SOC и повышает риски запоздалого реагирования на инциденты. Средний бизнес, в свою очередь, сталкивается с иными препятствиями: нехватка высококвалифицированных специалистов для работы с SIEM и ограниченные ресурсы, что делает его уязвимой целью для кибератак. Эти специфические проблемы усугубляются общим контекстом: усиление регуляторного давления на крупнейшие российские компании и государственные организации, включая объекты КИИ, а также курс на технологический суверенитет. Важнее всего то, что руководители и специалисты по информационной безопасности осознают: без централизованного анализа и оперативного реагирования невозможно обеспечить защиту современной инфраструктуры.

От маркетинга к архитектуре на рынке SIEM

В настоящее время почти каждый крупный поставщик заявляет о внедрении искусственного интеллекта, который, по его словам, берёт на себя рутинные задачи — сбор информации, анализ происшествий, формирование отчётов. Теоретически это стало признаком развитого центра мониторинга безопасности. Однако в реальности подобные помощники часто функционируют «рядом» с основной платформой, а не являются её неотъемлемой частью. С исторической точки зрения это объяснимо: SIEM-платформы постепенно обрастали дополнительными технологиями, такими как SOAR, источники угроз, например, Solar TIFeeds, UEBA, которые зачастую представляли собой лишь внешние надстройки. Именно такой подход привёл к раздробленности на рынке. Современные кибератаки требуют не просто сопоставления событий, а сквозного управления инцидентом — от первоначального оповещения до автоматического реагирования.

По этой причине сейчас наблюдается тенденция, когда развитие SIEM-систем постепенно движется в сторону архитектуры XDR. Это не вопрос далёкого будущего — уже сегодня в процессе разработки заметно, как вендоры начинают внедрять элементы новой архитектуры непосредственно в основу продукта, а не в качестве дополнительной настройки.

Возможности XDR не могут быть собраны из разрозненных модулей с разными лицензиями. Они должны быть изначально заложены в архитектуру платформы. Современные центры безопасности перегружены обилием слабо интегрированных инструментов, требующих вложений во внедрение, обучение персонала и техническую поддержку. Также мы видим, как меняются критерии оценки зрелости процессов в SOC. В прошлое уходят «соревнования» по количеству предустановленных коннекторов и правил. Практический опыт демонстрирует, что унификация и грамотная архитектура позволяют, к примеру, сократить число необходимых правил корреляции с 600 до 200 для стандартной инфраструктуры без ущерба для результативности.

Эта же тенденция актуальна и для искусственного интеллекта в рамках SIEM-решений. Можно иметь ИИ-помощника, который по запросу специалиста сопоставляет события с тактиками из базы знаний MITRE ATT&CK. Совершенно иная ситуация возникает, если сделать его центральным элементом обработки входящего потока данных. В таком случае к моменту, когда событие поступает аналитикам первой и второй линии поддержки, они видят не «чистый лист», а полностью подготовленную картину инцидента информационной безопасности: с контекстом из всех систем, соотнесением с атакующими сценариями, оценкой серьёзности, готовыми сценариями реагирования и даже черновым вариантом отчёта. По сути, такой агент становится оркестратором, обеспечивающим ту самую интеграцию SIEM, SOAR и XDR. В этом случае ИИ-агент перестаёт быть просто вспомогательным инструментом и превращается в центральный компонент системы.

К подобной концепции, где платформа берет на себя до 90% рутинных задач, движется компания «Солар». Встроенный в Solar SIEM искусственный интеллект уже демонстрирует уровень уверенного начинающего специалиста: он разъясняет суть происшествий и предлагает конкретные шаги для реагирования. Такой подход к автоматизации снимает с сотрудников основную часть механической работы, позволяя экспертам центра мониторинга SOC концентрироваться на сложных расследованиях, а не на сборе информации, что крайне важно в условиях нехватки квалифицированных кадров. Речь идет не о простом добавлении возможностей, а о развитии встроенного ИИ-агента, который становится ключевой технологией платформы. В перспективе тесная интеграция с EDR и сетевыми средствами защиты позволит системе автоматически противостоять сложным атакам, превращаясь в единый командный центр обороны.

Поэтому совершенствование новой архитектуры – лишь вопрос времени. Грядущие кибератаки будут скоротечными, многоэтапными и скоординированными с помощью ИИ, который стал основным инструментом злоумышленников, значительно снизив требуемый для атак уровень навыков. Если ранее для сложной операции были нужны глубокие знания и дорогостоящие инструменты, то теперь искусственный интеллект предоставляет готовые решения и руководства к действию, что ведет к ежегодному росту числа сложных атак на 20% и принципиальному изменению их характера.

Следовательно, главный способ противостоять будущим атакам с использованием ИИ – это глубокая, на фундаментальном уровне, интеграция SIEM/SOAR с EDR, сетевыми и другими защитными механизмами в ядре продукта для SOC. Уже сегодня объединение SIEM и SOAR в едином решении позволяет клиентам «Солара» сокращать расходы до 40% благодаря комплексному подходу. SIEM-платформа «Солара» не только выявляет сложные угрозы, но и автоматически реагирует на инциденты, освобождая до 90% времени аналитиков от рутинных задач. При этом эффективность автоматизации обеспечивается готовыми правилами и сценариями, созданными на основе реального опыта и разбора инцидентов крупнейшего в России SOC SolarJSOC – они изначально включают актуальные методы противодействия новейшим угрозам.

В нашем видении XDR – это закономерный шаг в реализации изначально заложенной архитектурной философии. В будущем это позволит полностью автоматизировать процессы локализации и реагирования на инциденты информационной безопасности без необходимости привлекать ИТ-подразделения. Ведь первоначальные точки проникновения злоумышленников в инфраструктуру, как правило, находятся за пределами наиболее критичных сетевых сегментов, и решающее значение здесь имеет фактор времени.