На российском рынке SIEM задают тон облака, интеграции и расширенная аналитика

Динамика российского рынка SIEM объясняется в первую очередь растущими требованиями к цифровому суверенитету и импортонезависимости, особенно на объектах КИИ. Регуляторные нормы, в том числе №58-ФЗ от 7 апреля 2025 г., вносящий поправки в №187-ФЗ, и приказ ФСТЭК №117, усилили роль мониторинга данных и передачи актуальных сведений в ГосСОПКА. Это меняет подход к организации ИБ-инфраструктуры — SIEM становится одним из ее центральных компонентов. 

Помимо этого, в уходящем году выросла потребность в SIEM со стороны среднего и малого бизнеса. Прежде всего это связано с увеличением количества кибератак на такие организации — с ними столкнулась треть российских МСП. Из-за повышения угрозы растет уровень осведомленности руководителей и их готовность вкладываться в современные и эффективные инструменты защиты.  

В связи с этим меняются требования к архитектуре SIEM: заказчикам необходимы высокопроизводительные продукты с возможностями быстрого развертывания и масштабирования, но на доступных условиях. На этом фоне все больше заказчиков предпочитают потреблять сервис в облаке — SIEMaaS (Security information and event management as a Service), а еще чаще — в формате MSSP (Managed Security Service Provider). Так они могут сразу получить комплексную защиту без существенных капитальных затрат. По оценкам экспертов, рынок MSSP в России увеличивается со среднегодовыми темпами примерно в 20% и может удвоиться уже к 2028 году. 

Кроме того, при выборе SIEM заказчики уделяют особое внимание тому, чтобы он был совместим с отечественными ИБ-продуктами, а настройка взаимодействия с новым оборудованием и программным обеспечением не растягивалась на месяцы.  В первую очередь речь идет о SIEM-платформах, в которых функции SOAR (Security Orchestration, Automation and Response) и IRP (Incident Response Platform) встроены и подключаются как модули в едином интерфейсе. Такой подход упрощает работу, избавляя от разрозненных решений и нескольких окон, а также экономит время. По оценкам экспертов, модульное совмещение SIEM с SOAR и IRP позволяет снизить до 40% совокупные затраты на внедрение по сравнению с развертыванием этих систем по отдельности. 

Еще один заметный тренд — расширение аналитических функций и средств визуализации внутри самой платформы SIEM. Если раньше для построения витрин, аналитических панелей и управленческой отчетности по инцидентам и метрикам информационной безопасности часто использовались внешние BI системы, сегодня эти функции все активнее консолидируются в рамках самого SIEM. 

Заказчикам важно не только иметь консоль расследования инцидентов, но и получать сквозную статистику по инцидентам, динамике атак, загруженности SOC, уровню соблюдения SLA и другим показателям, необходимым ИБ директорам и бизнес руководителям. Это особенно актуально для небольших компаний, которые с помощью SIEM могут закрыть часть ИТ потребностей: организовать мониторинг серверов, доступности ключевых систем и сайтов, состояния бизнес критичных приложений. 

«В 2025 году рынок SIEM в России сместился от парадигмы “собирать логи и показывать алерты” к модели управляемого реагирования. Сегодня недостаточно просто зафиксировать инцидент: заказчики ожидают от SIEM платформы четкого сценария, что должно быть сделано в первые минуты и часы. Компании охотнее выбирают SIEM решения с уже встроенными модулями реагирования и библиотеками типовых инструкций для сотрудников. Кроме того, они обращают внимание на гибкость, доступность SIEM и возможности интеграции. В ближайшие годы именно такие системы будут задавать тон на рынке и определять, насколько эффективно бизнес сможет защищаться от стремительно усложняющихся киберугроз», — отмечает Максим Кириенко, руководитель технического пресейла VolgaBlob.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!