Системы управления событиями и информацией о безопасности SIEM (Security Information and Event Management), которые первоначально предназначались для сбора и корреляции данных журналов, снабжаются ведущими разработчиками новейшими технологиями, позволяющими сохранять эффективность в условиях постоянного роста числа и изощренности киберугроз.

По данным аналитической компании Context, существенное влияние на увеличение внедрений SIEM оказала конвергенция SIEM с системами расширенного реагирования на киберинциденты XDR (Extended Detection and Response) и платформами автоматизации операций информационной безопасности SOAR (Security Orchestration Automation and Response Platform).

Объединение SIEM с XDR и SOAR формирует единую платформу безопасности, которая работает без ручного вмешательства. SIEM обнаруживает инциденты безопасности, а SOAR запускает через XDR такие автоматизированные ответные действия, как изоляция и отключение скомпрометированных конечных точек и учетных записей пользователей, а также блокировка вредоносного трафика в режиме реального времени.

Заметной тенденцией развития SIEM становится ускоренный переход на облачные решения – платформы безопасности plug-and-play, позволяющие подписываться на их услуги, автоматизировать реагирование на угрозы с помощью SOAR, интегрировать ресурсы через API с решениями XDR/EDR (Endpoint Detection and Response), настраивать индивидуальные правила обнаружения киберугроз в реальном времени.

Облачные SIEM уменьшают операционные издержки, ускоряют расследования инцидентов и устраняют дорогостоящую модернизацию оборудования, необходимую при локальных развертываниях. Первоначальные затраты на облачные SIEM ниже, чем на локальные системы, их развертывание происходит гораздо быстрее. Все это очень привлекательно для небольших предприятий, поясняют в Context, однако из-за значительных объемов обрабатываемых в облаке данных, крупным компаниям дешевле использовать локальное или гибридное развертывание SIEM.

SIEM на основе статических правил с трудом справляются со сложными современными киберугрозами. Решения на базе ИИ, применяющие машинное обучение в реальном времени для анализа огромных объемов данных кибербезопасности, получают способность выявлять неизвестные ранее аномалии и методы атак. Они сокращают число ложных срабатываний и помогают предсказывать нарушения безопасности.

Более того, по мнению экспертов, службы безопасности должны внедрять автоматизацию на основе ИИ, чтобы успешно противостоять  использующим ИИ злоумышленникам.

Рынок SIEM переживает быструю консолидацию, поскольку желание организаций использовать меньше инструментов безопасности с более глубокой их интеграцией приводит к увеличению числа поставщиков комплексных платформ. Разработчики традиционных SIEM приобретают дополняющие их технологии компании, включая поставщиков решений облачной безопасности,  отмечают в Context.

По данным Context, в 2024 году объема рынка SIEM увеличился на 20%, совместные продажи SIEM и XDR выросли более чем в 6 раз, рост выручки от облачных SIEM-решений составил 60%.