От SIEM к XDR: как мировые и российские тренды определяют будущее ядро кибербезопасности

Такая ситуация сложилась, к примеру, с ИИ-ассистентами и «расширенным» функционалом, что фактически приводит к архитектурно слабым системам. Этот же тренд мы наблюдаем на рынке решений класса SIEM.

С экономической точки зрения, внимание ИБ-индустрии к SIEM абсолютно логично. Так, по оценке Global Industry Analysts, объём мирового рынка SIEM в 2024 году составил около 13,4 млрд долларов с потенциалом роста до 32,8 млрд долларов к 2030 году при среднем ежегодном темпе роста порядка 16%. Это отражает устойчивый спрос бизнеса на расширенные возможности обнаружения, реагирования и управления событиями безопасности. Аналитики выделяют несколько драйверов в этом сегменте: экспоненциальный рост объемов телеметрии, собираемой в облачных и гибридных инфраструктурах, ужесточение регуляторных требований к киберустойчивости организаций, нехватку специалистов SOC, с которой сталкиваются MSSP-провайдеры и операторы собственных SOC. Стоит отметить и растущий интерес к SIEM-сервисам со стороны среднего бизнеса, который постепенно становится новой целевой аудиторией в сегменте анализа, мониторинга и реагирования на киберугрозы. Переход от практики реактивной защиты к стандартам проактивного реагирования на базе поведенческой аналитики и ИИ также стимулирует технологическое развитие сегмента.

Российский рынок SIEM во многом развивается в той же логике, но с собственными акцентами. По оценкам аналитиков B1, сегмент «Анализ, контроль и реагирование на угрозы ИБ» в 2024 году оценивается примерно в 36 млрд рублей, а его потенциал к 2030 году − около 77 млрд рублей. Доля SIEM-решений в структуре этого сегмента уже достигает примерно 26%. По данным «Солара», оценка рыночного спроса на решения класса SIEM в 2024 году составила 9,4 млрд рублей с прогнозом роста до 14,1 млрд к 2027 году.

Как и во всем мире, этот рост обеспечивают несколько драйверов. Для крупного бизнеса ключевыми вызовами остаются необходимость централизованного сбора данных со всех информационных систем, чрезмерная нагрузка на специалистов SOC и высокие трудозатраты на рутинные операции. Как следствие, это снижает эффективность работы SOC и приводит к рискам позднего реагирования на инциденты. Средний бизнес, в свою очередь, сталкивается с другими барьерами: нехватка специалистов высокой квалификации для поддержки на базе SIEM и ограниченные ресурсы, что делает его лёгкой мишенью для кибератак. Эти конкретные проблемы накладываются на общий контекст: усиление регуляторного давления на крупнейшие российские компании и государственные организации, объекты КИИ, курс на технологический суверенитет. А главное, руководители и специалисты по информационной безопасности понимают, что без централизованного анализа и реагирования невозможно обеспечить защиту современной инфраструктуры.

От маркетинга к архитектуре на рынке SIEM

Сегодня практически каждый крупный вендор заявляет о наличии ИИ-ассистентов, которые якобы берут на себя рутину — агрегацию данных, аналитику событий, подготовку отчётов. Формально это стало стандартом зрелого SOC. Но на практике во многих случаях такие агенты существуют «рядом» с системой, а не внутри её ядра. Исторически это объяснимо: SIEM-системы постепенно объединяли вокруг себя технологии SOAR, фиды, например, Solar TIFeeds, UEBA, зачастую это были просто внешние надстройки. Но именно эта логика привела рынок к фрагментации. Современные атаки требуют не просто корреляции событий, а сквозного сопровождения инцидента — от первого сигнала до автоматического реагирования.

Поэтому сейчас мы видим, что разработка SIEM-решений постепенно эволюционирует в сторону архитектуры XDR. Это не вопрос завтрашнего дня, но уже сейчас мы отмечаем в разработке, как вендоры начинают внедрять в архитектуру продукта компоненты новой архитектуры – но уже не в роли настройки, а в «сердце» технологии.

Функциональность XDR не может собираться из разрозненных модулей под разными лицензиями. Она должна быть заложена в архитектуру платформы изначально. Центры SOC сегодня перегружены избытком и слабой связностью инструментов, которые требуют инвестиций на внедрение, обучение команды и поддержку. Мы также наблюдаем, как меняются критерии зрелости процессов в SOC. Уходят в прошлое «чемпионские» списки по количеству коннекторов и правил «из коробки». Практика показывает, что унификация и правильная архитектура позволяют, например, сократить число необходимых корреляционных правил с 600 до 200 для типовой инфраструктуры без потери эффективности.

Этот же тренд справедлив и для ИИ в составе SIEM-решений. То же касается искусственного интеллекта. Можно иметь ИИ-агента, который по запросу аналитика сопоставляет события с матрицей базы данных MITRE ATT&CK. Совсем другая картина складывается, если сделать его центральным звеном обработки входящего потока. В этом случае к моменту, когда событие поступает в работу аналитикам первой и второй линии, они видят не «белый лист», а полностью обогащенный статус по инциденту ИБ: с контекстом из всех систем, сопоставлением со сценариями атак, оценкой критичности, готовыми плейбуками реагирования и даже черновиком отчета. Фактически, такой агент становится оркестратором, обеспечивающим ту самую конвергенцию SIEM, SOAR и XDR. В таком случае ИИ-агент уже не просто помощник, а ядро системы.

Именно к такой модели, в которой система берет на себя до 90% рутины, стремится «Солар». В Solar SIEM встроенный ИИ-агент уже работает на уровне уверенного «джуна»: он объясняет природу инцидентов и предлагает практические шаги реагирования. Таким образом автоматизация снимает с человека максимум механической нагрузки, позволяя аналитикам SOC фокусироваться на сложных расследованиях, а не на сборе данных, что критически важно в условиях кадрового дефицита. Это означает не просто добавление функций, а эволюцию встроенного ИИ-агента, который выступает core-технологией решения. В перспективе глубокая интеграция с EDR и средствами сетевой безопасности позволит платформе автоматически отражать сложные атаки, превращаясь в единый центр управления обороной.

Поэтому развитие новой архитектуры – лишь вопрос времени. Будущие атаки будут быстрыми, многошаговыми и координируемыми ИИ, который стал ключевым инструментом атакующих, резко снизив порог входа в профессию. Если раньше для сложной операции требовались серьёзные знания и дорогие инструменты, то теперь ИИ даёт готовые рекомендации и инструкции, что приводит к росту количества сложных атак на 20% в год и качественному изменению их профиля.

Таким образом, ключ к отражению будущих ИИ-атак заключается в глубокой, на уровне ядра, интеграции SIEM/SOAR с EDR, сетевой безопасностью и другими средствами защиты на уровне ядра продукта для SOC. Уже сейчас интеграция SIEM и SOAR в одном продукте позволяет клиентам «Солара» экономить до 40% за счет единого решения. SIEM-система «Солара» не только обнаруживает сложные угрозы, но и автоматизировано реагирует на инциденты, высвобождая до 90% времени аналитиков от рутинных операций. При этом эффективность автоматизации обеспечена готовыми правилами и сценариями, основанными на реальном опыте и анализе инцидентов крупнейшего в России SOC SolarJSOC − они сразу содержат актуальные методы противодействия новейшим атакам.

В нашем случае XDR − закономерный этап в реализации изначально заложенной архитектурной философии. В будущем это позволит полностью автоматизировать действия по локализации и реагированию на ИБ-инциденты без необходимости задействовать ИТ-службы. Ведь первичные векторы закрепления атакующих в инфраструктуре, как правило, находятся за пределами наиболее критичных сегментов сети, и ключевой параметр здесь − время.