Вестник цифровой трансформации

SIEM не внедряют из-за кадрового голода
SIEM не внедряют из-за кадрового голода




11:37 22.09.2022  |  2038 просмотров



Компания «СёрчИнформ» провела исследование практического применения систем мониторинга и управления событиями информационной безопасности (SIEM) в российском бизнесе. Как выяснилось, SIEM-системами оснащены только от 14% до 25% компаний.

Основной акцент во время опроса делался на проблемы эксплуатации и внедрения систем, в том числе на субъектах критической информационной инфраструктуры (КИИ), где применение этих решений фактически обязательно. Представители некоторых субъектов КИИ заявляют, что не нуждаются в системах мониторинга событий. Например, большинство (56%) респондентов из здравоохранения заявляют об отсутствии задач для SIEM в своих организациях и не знают, что внедрять такие системы их обязывают нормативные требования.

Еще 12% участников опроса уверены, что имеющиеся у них средства ИБ вполне компенсируют отсутствие SIEM. Это субъективные оценки: на деле у организаций практически нет инструментов, которые потенциально могли бы составить альтернативу SIEM и решать схожие задачи. Так, например, SOC используют 6% опрошенных, EDR – 3%. Лучше ситуация со сканерами уязвимостей, они установлены в 47% компаний. Однако даже этот инструмент в отдельности не отвечает всем задачам по оперативному мониторингу угроз.

SIEM

Но главные причины, которые тормозят внедрения – это отсутствие бюджетов, сложность внедрения и отсутствие кадров для работы с SIEM.

Нехватка бюджетов

37% опрошенных сообщили, что считают SIEM слишком дорогой – они не смогли найти средства на закупку и отказались от идеи. Даже среди компаний, где SIEM установлена, 47% назвали согласование бюджета на закупку самой большой сложностью, связанной с решением.

Ситуацию усложняет то, что эксплуатация SIEM может предполагать дополнительные затраты: на профильного специалиста для работы с ней, для оплаты технической поддержки и доработок, на расширение числа лицензий, если они рассчитываются по пиковому трафику (число событий от источников в единицу времени), а лимиты были превышены.

Сложности внедрения

Совокупно более 70% респондентов считают работу с SIEM сложной – опасаются чрезмерных трудозатрат на внедрение, настройку и кастомизацию. Для 14% опрошенных компаний без SIEM потенциальные трудозатраты на внедрение стали главной причиной отказа от закупки.

Те компании, которые уже владеют системой, жалуются на сложности кастомизации. Недостаточно функционала, доступного «из коробки»: 33% не хватает готовых коннекторов для подключения источников, а 17% — правил корреляции, т.е. вычленения инцидента. Справиться с проблемой самостоятельно удается только 46% компаний, большинство же прибегает к помощи вендоров и интеграторов. Это наглядно демонстрирует еще одну проблему – нехватку компетентных кадров для работы с SIEM.

SIEM

Проблемы с кадрами

Для каждой пятой организации отсутствие профильных специалистов послужило причиной для отказа от закупки решения. На нехватку кадров пожаловались и 58% компаний, где SIEM уже внедрена.

Исследование показало, что только 11% компаний смогли выделить для работы с SIEM профильного специалиста. В подавляющем большинстве случаев это дополнительная нагрузка на ИБ-специалистов.

При всех сложностях никто из респондентов не сомневается в эффективности SIEM – даже те, у кого решение не внедрено, признают его пользу. Компании понимают, что это важная система, чтобы противостоять растущему количеству угроз – для 41% владельцев решения это стало главным мотиватором внедрения. Другая популярная причина, почему компании всё же решаются на закупку – расширение инфраструктуры и наличие в ней специфических источников, например, отечественного ПО и оборудования (40%). Еще 36% на это мотивируют требования регулятора.

SIEM

Теги: Информационная безопасность SIEM

На ту же тему: