Группа компаний «Солар», создающая комплексные решения в области кибербезопасности, пополняет линейку технологий и представляет рынку продукт категории SIEM, интегрирующий в единую платформу две ключевые технологии — SIEM и SOAR. Такой подход позволяет организациям снизить до 40% затраты на внедрение востребованных инструментов в рамках центра мониторинга и реагирования (SOC).
По прогнозам компании, Solar SIEM будет полезен трём основным группам заказчиков. Прежде всего, это предприятия, вкладывающие средства в создание собственных SOC, — финансовые организации, интернет-магазины, торговые площадки, металлургические холдинги. Другими важными сегментами станут компании, реализующие проекты по замене зарубежных SIEM-решений, а также клиенты, применяющие услуги гибридных центров мониторинга.
Эксперты рынка подчёркивают, что решения класса SIEM относятся к числу растущих направлений в российской IT-сфере. Например, по данным «Б1», они входят в область «Анализ, контроль и противодействие киберугрозам», объём которой в 2024 году достиг 36,1 млрд рублей и заняла 17% всего рынка продуктовой разработки в сфере информационной безопасности. Потенциал роста этого сегмента оценивается в 77,1 млрд рублей к 2030 году. Согласно расчётам аналитиков «Солара», доля SIEM-решений в рамках отраслевого домена составила 26%, или 9,4 млрд рублей в 2024 году, с ожидаемым увеличением до 14,1 млрд рублей к 2027 году.
Дополнительным стимулом для развития сегмента SIEM выступает рынок подписных сервисов безопасности (MSSP), использующих данные с систем, развёрнутых в SOC различного типа. Согласно исследованию iKS-Consulting, в 2024 году объём этого рынка оценивался в 26,1 млрд рублей с перспективой роста до 54,1 млрд рублей к 2028 году.
Учитывая указанные перспективные тенденции, «Солар» создал продукт Solar SIEM, объединив в нём компетенции в разработке, практический опыт предоставления MSSP-услуг и глубокое понимание запросов бизнеса из наиболее уязвимых отраслей экономики.
Solar SIEM — это программный комплекс для централизованного наблюдения, анализа и реагирования на инциденты информационной безопасности, предназначенный для решения трёх ключевых бизнес-задач. В их числе — автоматизация процессов мониторинга и реагирования в SOC, повышение продуктивности аналитиков первого и второго уровней. Продукт также позволяет гибко настраивать процессы мониторинга, анализа и реагирования для опытных команд SOC, а благодаря совмещению двух популярных технологий — SIEM и SOAR — на единой платформе помогает сократить расходы на внедрение до 40%.
Отсутствие технологий SIEM и SOAR в инфраструктуре способствует увеличению масштаба и длительности кибератак. К примеру, без системы SIEM компания не способна получить целостное представление о безопасности своей инфраструктуры, что позволяет злоумышленникам долгое время оставаться незамеченными. В такой ситуации медленные и растянутые во времени атаки просто «теряются» в массиве разрозненных журналов событий.
Недостаток SOAR-технологий не позволяет командам SOC оперативно и слаженно противостоять киберинцидентам. Ручная обработка атак значительно замедляет время реакции и продлевает период присутствия угрозы в инфраструктуре. Так, лишь за первое полугодие 2025 года на 16% возросло количество кибератак, продолжавшихся свыше месяца и даже более двух лет, причем основными мишенями стали государственные учреждения, промышленные предприятия, IT-компании и медицинские организации.
При создании нового продукта «Солар» опирался на многолетний опыт обеспечения киберустойчивости для более чем тысячи российских организаций, являющихся клиентами Центра противодействия кибератакам Solar JSOC. Разработчики интегрировали в Solar SIEM возможности SIEM и SOAR в единое готовое решение, что обеспечивает полный цикл обработки инцидентов и событий в рамках одной платформы.
SIEM представляет собой технологию, применяемую специалистами SOC для сбора данных о событиях информационной безопасности, их анализа и обработки на основе корреляционных правил. Собранная информация формируется в сводный отчет, на основании которого офицеры ИБ принимают решения по конкретным инцидентам.
SOAR — это автоматизированная технология, обеспечивающая оперативное и эффективное противодействие кибератакам. Это позволяет сотрудникам сосредоточиться на решении наиболее важных стратегических задач.
Готовое решение Solar SIEM построено на микросервисной архитектуре с собственной кодной базой: механизмы корреляции, обработки событий, автоматизации, интеграций и вся логика продукта были полностью разработаны командой, а не созданы на базе Open Source решений. Такой подход позволяет гибко реализовывать различные сценарии работы SIEM-системы «Солар», оперативно внедрять функционал для клиентов, обновлять и масштабировать систему в их инфраструктуре.
«Стратегически мы эволюционируем от набора разрозненных продуктов и сервисов к формированию целостной интегрированной платформы — экосистемы для управления кибербезопасностью. Solar SIEM объединит наш продуктовый портфель и станет единой точкой входа для мониторинга и реагирования на инциденты ИБ», — подчеркнул Максим Жевнерев, руководитель отдела развития технологий и перспективных услуг SOC ГК «Солар».
Актуальные данные для Solar SIEM поступают от Центра противодействия кибератакам Solar JSOC и Центра расследования киберугроз Solar 4RAYS. Эти структуры накапливают крупнейшую в России базу знаний о методах и тактиках киберпреступников, нацеленных на российский бизнес и государственные институты. Благодаря этому Solar SIEM уже сегодня предлагает комплексные решения для мониторинга и реагирования «под ключ».
«Клиенты получают интегрированное решение Solar SIEM на основе SIEM- и SOAR-систем, позволяющее автоматизировать до 90% рутинных операций — от сбора данных до реагирования. В результате специалисты SOC будут работать с актуальной информацией при обработке инцидентов ИБ и сократят время на их анализ и устранение», — отметил Максим Жевнерев.
При формировании продуктовой стратегии коллектив стремился не просто внедрить функцию реагирования, но и добиться автоматизации этой процедуры с возможностью гибкой настройки рабочих сценариев. Внедренный в интерфейс конструктор сценариев дает возможность естественным образом обогащать данные об инцидентах, взаимодействовать со сторонними платформами, направляя в них соответствующие запросы. Это способствует автоматизации процесса реагирования и уменьшению временного интервала до начала действий (Time-to-Response).
С целью ускорения расследования происшествий в продукте реализована система поведенческих профилей. Она формирует референтные модели типичного поведения пользователей, что помогает оперативно выявлять аномалии, совершенствовать обращения к архивной информации и, как результат, сокращать общие затраты времени на анализ и устранение инцидентов.
Пользователи также получают доступ к встроенному нейроассистенту в Solar SIEM. Он поддерживает создание корреляционных правил для событий, формирование аналитических запросов к данным и разработку автоматизированных сценариев реагирования. Нейроассистент работает на уровне старшего специалиста: рекомендует необходимые запросы с обоснованием, генерирует требуемые команды и направляет их на выполнение, а также учитывает полный контекст инцидента: события, журналы, предыдущие случаи, методы MITRE и другие данные. В конечном счете ИИ-помощник экономит временные ресурсы, повышает точность реагирования на инциденты и уменьшает нагрузку на аналитиков.
«В перспективе мы намерены расширять перечень доступных модулей: в частности, усовершенствовать работу с индикаторами компрометации, добавить расширенные возможности управления активами и учетными записями – непосредственно в рамках SIEM-системы «Солара», чтобы специалисты SOC имели доступ ко всей необходимой информации в едином интерфейсе для максимально продуктивной работы с инцидентами», – отметил Александр Ненахов, руководитель продукта Solar SIEM ГК «Солар».
Solar SIEM включен в реестр российского программного обеспечения Минцифры РФ. ГК «Солар» также направила документы для получения сертификации ФСТЭК России.
