RuSEIM пресс-центр

Российский рынок SIEM-систем в 2025 году: тенденции, выбор и прогнозы развития

2025-10-14 16:43 Публикации
Российский рынок систем управления ИБ-событиями (SIEM) в 2025 году определяется трендами на суверенитет и импортозамещение. Выбор платформы теперь является стратегическим решением, влияющим на киберустойчивость бизнеса. На AM Live обсудили тенденции рынка, особенности выбора и перспективы развития.

Введение

Стратегия кибербезопасности российского крупного бизнеса в 2025 году немыслима без выбора отечественной SIEM-платформы. На фоне курса на технологический суверенитет системы класса Security Information and Event Management становятся центральным узлом SOC, от которого зависит оперативное обнаружение угроз и устойчивость компании. Однако сам выбор превратился в сложную задачу, где необходимо учитывать не только функциональность, но и стоимость владения, экосистемность, а также глубину экспертизы вендора.
Приглашённые эксперты — представители лидеров рынка обсудили ключевые тенденции в этом сегменте, особенности выбора и внедрения, а также перспективы развития российских SIEM.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
  • Максим Степченков, совладелец компании RuSIEM.
  • Ева Беляева, руководитель отдела разработки продуктов, Security Vision.
  • Николай Лишке, директор центра кибербезопасности, ГК «Эшелон».
  • Максим Жевнерёв, руководитель отдела развития технологий и перспективных услуг SOC, ГК «Солар».
  • Вадим Порошин, директор по развитию, «Пангео Радар».
  • Илья Одинцов, менеджер по продукту, NGR Softlab.
  • Виктор Никуличев, руководитель продукта R-Vision SIEM, компания R-Vision.
  • Иван Прохоров, руководитель продуктов MaxPatrol SIEM / MaxPatrol IM, Positive Technologies.

Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа».

Тенденции российского рынка SIEM — 2025

Иван Прохоров рассказал, что заметно прослеживается тенденция к запросам на результат. SIEM-системы выбирают не просто для галочки — заказчикам нужны результативные SIEM, которые обеспечивают практическую пользу. В этом направлении и движется рынок. Каждый релиз что-то меняет — всегда можно что-то улучшить.
Современные SIEM-системы сильно отличаются от тех, что появились много лет назад. Из решений для сбора логов и поиска по ним они превратились в системы обеспечения практической результативности на базе не только статической, но и адаптивной корреляционной логики. Сейчас есть атаки, которые плохо выявляются статическими правилами. Есть необходимость использовать инструменты адаптивного обнаружения внутри продуктов класса SIEM.
Максим Степченков считает, что SIEM не сильно изменились за последние годы. Даже машинное обучение (ML) использовалось ещё восемь лет назад. Тенденция рынка — стало больше переходов с одних отечественных продуктов на другие отечественные.

Вадим Порошин объяснил тренд с заменой одних отечественных решений на другие тем, что некоторые SIEM-системы не обеспечивают нужную производительность, уровень экспертизы, качество и глубину по многим показателям, которые необходимы, поэтому заказчики ищут альтернативы.

Николай Лишке считает, что эволюция SIEM была бы невозможна без изменения требований заказчика. Зрелость компаний растёт, вместе с этим растёт и рынок.
Виктор Никуличев добавил, что продукт должен соответствовать спросу на рынке. Принцип работы SIEM остался прежним, но меняются атрибутика, технологии, сервисы. Клиент ожидает простую, надёжную и стабильную SIEM-систему — эти запросы не меняются со временем.

Максим Жевнерёв заметил, что с точки зрения подходов и функциональных возможностей особого прорыва и резкого изменения не наблюдается, но кардинально поменялись ожидания от продукта. Сейчас есть запрос на качество и пользу, которую даёт SIEM, экспертизу, которую закладывает в него вендор.

Иван Прохоров добавил, что процессы дозрели до того состояния, когда они требуют определённых технологий внутри продукта и определённого его качества. Несмотря на нехватку кадров на российском рынке, качество и уровень подготовки среднестатистического специалиста службы ИБ в SOC значительно выше, чем это было 10 лет назад. Именно это диктует потребности к функциональности внутри продуктов.

Ева Беляева уверена, что вектор поменялся с точки зрения требований заказчика. Лет 10–12 назад заказчики точно знали, чего хотят и давали чёткий список требований по функциям. Сейчас они хотят получать экспертизу вендора — что из функциональности действительно работает, приносит пользу, что чаще всего заказывают.
Илья Одинцов считает, что сейчас рынок разделился: первая группа — те, кто понимает, зачем им нужен свой корпоративный SOC, вторая — небольшие заказчики без экспертизы, которым нужен коммерческий SOC, и третья группа делает ставку на решения по расширенному детектированию и реагированию (XDR).

В первом опросе зрители поделились, какой из критериев наиболее важен для них при выборе SIEM: скорость работы (EPS) и масштабируемость — 46%, наборы правил корреляции «из коробки» — 18%, цена — 16%, репутация вендора — 8%, наличие сертификата ФСТЭК России — 8%, наличие нужных коннекторов — 4%.

Год назад картина была иной. Например, заметно больше зрителей нуждались в коннекторах или думали в первую очередь о бюджете.
Рисунок 2. Какой из критериев наиболее важен для вас при выборе SIEM?

Российская специфика рынка SIEM

Максим Жевнерёв не видит принципиальных отличий российского рынка от западного в плане спроса. Ситуация последних лет показывает, что запрос в первую очередь идёт на экономию средств при максимальной функциональности. Сейчас тенденция больше направлена в сторону выбора локальных (on-premise) решений, а на западном рынке топовые игроки ушли в облака. Популярен облачный вариант SIEM, когда на площадке нет развёрнутой инсталляции, требующей большого объёма ресурсов и инженерного сопровождения. В России в облака идут немногие, запрос на on-premise растёт.
Ева Беляева считает, что потребности на российском и зарубежном рынках различаются — абсолютно разные запросы к требованиям по безопасности продукта. В России они выше, заказчики думают в первую очередь о том, как их могут сломать через SIEM — смотрят на сертификаты, на проверку безопасности кода, опыт внедрения других заказчиков в целом по рынку или в своём сегменте. На зарубежном рынке такой тенденции нет. Также в России специфичны конечные устройства, с которых собираются события, есть много самописного, что заказчики любят подключать к SIEM-системе. Есть много российских операционных систем — с ними нужно уметь работать и выявлять события.

Влияет ли выбор SIEM на работу SOC

Илья Одинцов объяснил, что для зрелых SOC, которые уже используют платформы реагирования (IRP) и оркестровки (SOAR), SIEM выполняют одни и те же функции — сбор, корреляция и хранение. Если IRP нет, то SIEM становится важным инструментом, начинает более полно использоваться его функциональность. Сейчас особенно важна не только производительность, но и стоимость SIEM.
Вадим Порошин подчеркнул, что стоимость владения — это не только стоимость лицензии и серверов, но также поддержки, дальнейших интеграций, внедрений.

Иван Прохоров уверен, что самый важный результат работы SIEM — обеспечение киберустойчивости. Универсальный SIEM, подходящий для использования в SOC — тот, который можно максимально просто и быстро встроить в треугольник «люди — процессы — технологии». Главное — чтобы SIEM была удобной в использовании, работала со всеми системами безопасности и помогала выстраивать защиту бизнеса. Если все критерии выполняются, значит, это правильный выбор.

Виктор Никуличев заметил, что коммерческие SOC часто находят новые методы снижения стоимости, например, создавая общий SIEM с механизмами разделения доступа, отделяя маленький SIEM в гибридном режиме. В клиентских SOC выбор SIEM становится принципиальным — он выбирается надолго: миграция не происходит быстро.
Максим Жевнерёв считает, что эффективность SIEM в любой компании и его выбор зависят от людей, которые будут с ним работать. При выборе должно быть соответствие функциональности продукта запросам команды и её предпочтениям — в этом случае система будет эффективно работать и развиваться. Если рассматривать по функциональности, можно взять любой SIEM из топ-5 — он позволит выполнить все задачи, которые нужно закрыть, но только если команда готова с ним работать. На это стоит ориентироваться в первую очередь.

Максим Степченков уверен, что для коммерческого SOC главное — цена владения. Ева Беляева считает, что люди (инженеры, аналитики) — это ключевой критерий. Толковый специалист может выжать максимум из любого продукта.

Удобство использования системы мониторинга

Максим Степченков объяснил, что большинство пользователей SIEM из энтерпрайза долгое время использовали западные решения. Переход к любому другому вендору всегда связан с неудобствами, потому что всё по-другому устроено.
Иван Прохоров добавил, что даже когда все функции и возможности выполнения задач в продукте реализованы, заказчики испытывают неудобства. Они сравнивают с привычными западными решениями и недовольны различиями.

Ева Беляева уверена, что удобство — это предсказуемость, надёжность и стабильность. Нужно понимать, как продукт работает, какой будет отклик на действие. Иногда возникают проблемы из-за непредсказуемости поведения SIEM или внезапного прекращения его работы.

Виктор Никуличев рассказал, что есть конкретные запросы от заказчиков на улучшение. Их нужно принимать во внимании и улучшать продукт.

Николай Лишке считает, что удобство эксплуатации не зависит от интерфейса. Простота использования начинается с установки решения и должна быть на каждом этапе.

Илья Одинцов добавил к этому, что если продукт поддерживает принцип «детектирование как код» (Detection-as-Code), то он становится универсальным для тех, кто изначально пропагандирует этот принцип.

Блиц: самые важные особенности вашего продукта

Иван Прохоров:
«Более тысячи инсталляций, которые обеспечивают результативную кибербезопасность. Большое количество разных правил детектирующей логики, нормализации. Наличие большого пула экспертной логики позволяет максимально быстро начать работать с продуктом и получать результат. Экосистемность и интегрированность».
Виктор Никуличев:
«Мы делаем продукты для большого энтерпрайза, крупных команд клиентов, которые знают, чего хотят — как им нужно настроить SIEM и как они смогут решить все задачи с ее помощью. Большое количество инструментов в системе создается именно с этим акцентом».
Илья Одинцов:
«Более 4 млрд событий в секунду обрабатываем в SOC. Автоматизированное управление средствами защиты по правилам корреляции».
Вадим Порошин:
«Высокая производительность. Правила парсинга нормализации и корреляции с возможностью тестирования внутри каждого правила, что важно для больших SOC. Экспертиза — одно из ключевых преимуществ».
Максим Жевнерёв:
«Ядром системы становится ИИ-ассистент, который на разных этапах помогает человеку, чтобы все задачи внутри продукта были максимально доступны (автоматизация, подсказки, объяснение, сопровождение по всему процессу). Есть задача сделать SIEM доступным для малого и среднего бизнеса».
Николай Лишке:
«Главный принцип — удобство. Вторая отличительная особенность — это компактность, основанная на архитектурных возможностях. Установка на большое количество серверов, а также работа с малым бизнесом».
Ева Беляева:
«Мы заботимся о том, чтобы у заказчика был выстроен процесс, чтобы он поддерживался и был усилен продуктами. Правильное и грамотное реагирование и расследование инцидентов, поддержка заказчика на каждом этапе. Удобство для быстрого запуска и начала работы, автоматизация подключения источников, добавление экспертизы».
Максим Степченков:
«Преимущества: соотношение “цена — качество”, скорость технической поддержки и учёт запросов на изменения. Большая клиентская база».
Во втором опросе зрители высказали мнение, что нужно дорабатывать в российских SIEM (мультивыбор):
  • Удобство эксплуатации — 66%.
  • Интеграцию и экосистемность — 46%.
  • Предиктивную аналитику (в том числе на базе ИИ) — 44%.
  • Наращивание экспертизы и возможностей из коробки — 42%.
  • Масштабируемость и быстродействие — 41%.
  • Реагирование на инциденты и киберразведку — 34%.

Рисунок 3. Что нужно дорабатывать в российских SIEM? (мультивыбор)

Прогнозы экспертов о будущем российских SIEM

Максим Степченков:
«Интересно, как все будут внедрять ИИ и к чему это приведёт; как будут появляться новые вендоры и что станет со старыми. Новые игроки уже выходят на рынок, конкуренция растёт».
Иван Прохоров:
«XDR не заменит SIEM, это разные продукты. SIEM останется ядром построения SOC, решая свои задачи — продуктовые корреляции, консолидация логов, обеспечение видимости. Российский рынок очень плодовит, интересно будет наблюдать, как развиваются SIEM. Без использования новых технологий внутри продукта не обойтись. Они будут постепенно внедряться в продукты — не только ML, но и новые подходы к обработке, автоматизации. Следующий год будет направлен на рост экосистем».
Виктор Никуличев:
«SIEM остаётся центральным элементом SOC и вряд ли это изменится в ближайшей перспективе. Есть два функциональных тренда: первый — ML, который приносит новые способы решения классических задач, оптимизацию работы аналитика, и второй — укрупнение, экосистемность, возможность интеграции сценариев в SIEM, который поглощает функциональные возможности рядом стоящих решений. Рыночный тренд — есть много игроков и большой спрос, баланс сил меняется. Чем быстрее вендор реагирует на изменения, тем выше его шансы добиться успеха на рынке».
Илья Шабанов:
«Внедрение SIEM-системы уже становится намного дороже, так как нужно больше производительности для сбора большого количества логов. В 2026 году будет ещё дороже из-за законодательных изменений. Кроме этого, поддержание, обслуживание и развёртывание SIEM-системы становятся сложнее и дороже».
Вадим Порошин:
«Краткосрочные перспективы: SIEM-системы придут к высокой производительности, будут интеграции — экосистемность, но не моновендорность. Нужно создавать экосистему и вокруг конкурирующих продуктов. В долгосрочной перспективе SIEM должен стать простым в управлении, возможно, с помощью ИИ и решения задач одной кнопкой».
Илья Одинцов:
«Нужна автоматизация с помощью ML, чтобы детектировать самые простые известные угрозы максимально быстро. Чем быстрее остановим вторжение и, возможно, автоматически отреагируем, тем лучше».
Максим Жевнерёв:
«Есть запрос на экосистемность и наличие в одном продукте смежных функций. Большое количество появившихся консолей усложняет людям жизнь, хочется работать в одном окне, обращаться к данным в одном и том же формате, не изучать логи других продуктов, а работать в привычной системе. Вендору всегда проще интегрироваться со своими продуктами, чем пытаться подстроиться под внешние».
Николай Лишке:
«Хочется верить, что заказчики начнут переходить в облака. Это снизит много затрат».
Ева Беляева:
«Все вендоры будут делать одно и то же. Хотелось бы сформировать комьюнити среди крупных и мелких игроков, которые только появляются. Проблемы у всех одинаковые, хотелось бы их решать совместно, делиться экспертизой, вместе разрабатывать способ решения общей проблемы».
Третий опрос показал, каково мнение зрителей относительно российских SIEM после эфира: убедились в правильном выборе SIEM — 35%, заинтересовались и будут тестировать — 30%, считают их слишком сырыми — 9%, сомневаются в их необходимости — 9%. По сравнению с прошлым годом расклад почти не изменился.

Рисунок 4. Каково ваше мнение относительно российских SIEM после эфира?

Выводы

Российский рынок SIEM в 2025 году демонстрирует зрелость, смещая фокус с простого сбора логов на обеспечение реальной киберустойчивости бизнеса. Выбор платформы сегодня — это стратегический компромисс между производительностью, стоимостью владения и глубиной экспертизы, заложенной в продукт. Ключевым трендом становится не гонка за отдельными технологиями, а экосистемность — способность SIEM легко интегрироваться в существующие процессы и становиться удобным рабочим инструментом для команды SOC.

При этом запросы заказчиков продолжают опережать предложение. Как показывают опросы, ключевые зоны роста для отечественных вендоров — это удобство эксплуатации и бесшовная интеграция в гетерогенные ИТ-ландшафты. Бизнес ждет от SIEM не просто мощного, но и предсказуемого, интуитивно понятного инструмента, который не требует постоянной донастройки и позволяет аналитикам сосредоточиться на угрозах, а не на преодолении сложностей интерфейса.

Несмотря на растущую конкуренцию и вызовы, отечественные решения уверенно развиваются, отвечая на эти запросы. Успех внедрения будет определяться не только мощностью движка корреляции, но и тем, насколько органично выбранная платформа соединит в себе технологическую мощь, операционное удобство и экспертизу вендора, становясь настоящим центром управления безопасностью.
Источник публикации