Спрос на Security Data Lake вырастет на 80%

Если в 2024 году среднее время скрытого пребывания злоумышленников в инфраструктуре составляло 25 дней, в 2025‑м — уже порядка 40. Практика показывает, что глубина целевой атаки может доходить до нескольких лет. Борьба с угрозами такого рода требует ретроспективного анализа данных.

Также рост интереса к SDL на российском рынке стимулируется необходимостью соответствия регуляторным нормам, предписывающим длительное хранение логов, и, кроме того, качественным изменением осознанности бизнеса. Компании все чаще сопоставляют стоимость внедрения современных решений с потенциальными финансовыми и репутационными потерями от инцидентов, которые могли бы быть предотвращены при наличии доступа к историческим данным.

Принципиальное отличие концепции SDL от традиционных SIEM-систем кроется в принципе работы с данными. Классические SIEM-решения, ориентированные на обработку событий в реальном времени, в среднем хранят данные от 7 до 30 дней. Расширение этого окна в рамках старой архитектуры приводит к кратному росту затрат. Технология SDL позволяет сохранять структурированные и неструктурированные данные в исходном виде годами. За счет переиспользования хранилищ, которые уже эксплуатируются заказчиками, и оптимального подбора дополнительных хранилищ под те или иные типы данных можно снизить совокупную стоимость владения инфраструктурой мониторинга (TCO) до 50%, одновременно повышая эффективность расследования сложных инцидентов.

В целом рынок ИБ переживает трансформацию, вызванную экспоненциальным ростом объемов цифровой информации и усложнением ландшафта киберугроз. Традиционные подходы к реагированию, ограниченные рамками традиционных SIEM, достигают пределов своей технической эффективности. Анализ рыночных тенденций свидетельствует о том, что SDL перестает быть нишевой инновацией и переходит в разряд обязательных элементов для зрелых центров безопасности (SOC). 

Ключевым драйвером здесь выступает необходимость работы с исходными событиями информационной безопасности: если раньше журналы и телеметрия удалялись спустя месяц, то теперь SDL позволяет накапливать петабайты информации, подключая аналитические мощности лишь по требованию — непосредственно в момент расследования или охоты за угрозами (Threat Hunting).

Кроме того, современные системы безопасности класса SDL обладают возможностью консолидировать информацию из разрозненных хранилищ в единое мета-хранилище. Такая централизация обеспечивает аналитикам полный контекст для проведения ретроспективных расследований и Threat Hunting, недоступных в рамках ограниченной памяти традиционных средств защиты.

На российском рынке развитие сегмента SDL получает мощный импульс в том числе благодаря курсу на импортозамещение. Отечественные вендоры переходят от копирования западной функциональности к созданию высокопроизводительных платформ enterprise-класса. Появляются решения, которые обеспечивают расширенную функциональность, включая высокую скорость полнотекстового поиска и возможность работать с любыми источниками данных без ограничений по пропускной способности. 

Перспективы развития технологии неразрывно связаны с внедрением искусственного интеллекта и машинного обучения. Озеро данных, аккумулирующее колоссальные массивы исторической информации, становится идеальным полигоном для обучения моделей. Это открывает путь к предиктивной аналитике, когда система способна не просто реагировать на свершившийся инцидент, но и предсказывать векторы атак на основе выявленных аномалий. Экспертное сообщество сходится во мнении, что в ближайшие годы индустрия придет к гибридной модели SOC, где SIEM-система будет отвечать за оперативное оповещение, а SDL возьмет на себя роль аналитического хаба для хранения данных, глубокого ретроспективного анализа и обеспечения нормативных требований. Конвергенция SDL и SIEM формирует платформы нового поколения, устраняющие слепые зоны и обеспечивающие полную прозрачность информационных потоков предприятия.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!