Компания Netwrix провела опрос среди 234 крупных компанийоб эффективности SIEM-решений, выделила сильные и слабые стороны SIEM-систем, а также определила плюсы и минусы от их использования.
Главным результатом опроса можно считать то, что SIEM — это решение, требующее тщательного внедрения, обслуживания и технической поддержки, что значительно увеличивает ИТ-затраты. Необходимость нанимать и обучать отдельных аналитиков — главный фактор (4,8 балла в общем рейтинге расходов), влияющий на совокупную стоимость развертывания SIEM-систем. В ходе исследования 69% респондентов отметили потребность в снижении расходов на внедрение и обслуживание SIEM-систем.
Вместе с тем, результаты опроса показали, что, SIEM незаменим для осведомленности об угрозах. По мнению 67% ИТ-специалистов, основная причина развертывания SIEM-систем — обнаружение ИБ- угроз в режиме реального времени.Среди причин отмечены также причинно-следственный анализ при расследовании инцидентов (61%) и упрощенная отчетность на соответствие стандартам ИБ (50%).
Несмотря на это, большое количество данных порой хуже, чем их недостаток. 81% пользователей отмечают, что SIEM-отчеты содержат много лишней информации. (В предыдущем исследовании 2014 года обеспокоенность этим фактом высказывало меньшее количество респондентов — около 75%). Отчеты представляют собой неупорядоченные списки логов, из которых трудно выделить информацию: кто, что, когда и где изменил. Причем 68% респондентов (61% — в исследовании 2014 года) утверждают, что SIEM-отчеты не содержат такую важную информацию, как состояние объекта до и после изменений. Это усложняет восстановление нужных настроек или объектов.
Помимо этого выяснилось, что отчеты, формируемые SIEM-системами, очень трудны в восприятии. 65% респондентов регулярно испытывают проблемы с поиском необходимых данных в отчетах — по запросу внешних или внутренних аудиторов. Кроме того, 63% опрошенных (55% — в 2014 году) отмечают трудности с разбором отчетов, а 57% респондентов признались, что вручную корректируют SIEM-отчеты перед передачей данных руководству или нетехническим специалистам.
В итоге заказчики отмечают, что заполнить пробелы может дополнительное ПО. Около 55% компаний предпочитают нанимать отдельных специалистов для обслуживания SIEM-систем и расшифровки отчетов. 41% компаний устанавливают дополнительное ПО, причем большинство из них — 86% — делают выбор в пользу решений для ИТ-аудита, отмечая, что подобный софт способен полностью компенсировать недостатки SIEM-систем.
«В последние несколько лет SIEM-решения стали краеугольным камнем для организаций, внедряющих политики безопасности. SIEM-системы широко используются в крупных организациях, но, несмотря на популярность этих решений, исследования показывают, что пользователи недовольны высокими затратами на внедрение и обслуживание этих решений. Кроме того, SIEM не всегда предоставляют достаточное количество данных для ИТ- безопасности,»- отмечает Алекс Вовк, CEO и основатель Netwrix. -«Компании ищут более эффективные и более экономически выгодные решения для управления событиями в ИТ-инфраструктуре. ИТ-аудит может стать идеальным решением, чтобы сократить издержки на мониторинг инфраструктуры без ущерба для безопасности».