Компанія Netwrix провела опитування серед 234 великих компанийоб ефективності SIEM-рішень, виділила сильні і слабкі сторони SIEM-систем, а також визначила плюси і мінуси від їх використання.

Головним результатом опитування можна вважати те, що SIEM - це рішення, що вимагає ретельного впровадження, обслуговування та підтримки, що значно збільшує ІТ-витрати. Необхідність наймати і навчати окремих аналітиків - головний фактор (4,8 балів у загальному рейтингу витрат), що впливає на сукупну вартість розгортання SIEM-систем. В ході дослідження 69% респондентів відзначили потребу в зниженні витрат на впровадження і обслуговування SIEM-систем.

Разом з тим, результати опитування показали, що, SIEM незамінний для поінформованості про погрози. На думку 67% ІТ-фахівців, основна причина розгортання SIEM-систем - виявлення ІБ - загроз в режимі реального часу.Серед причин відзначені також причинно-наслідковий аналіз при розслідуванні інцидентів (61%) і спрощена звітність на відповідність стандартам ІБ (50%).

Незважаючи на це, велика кількість даних деколи гірше, ніж їх недолік. 81% користувачів відзначають, що SIEM-звіти містять багато зайвої інформації. (У попередньому дослідженні 2014 року стурбованість цим фактом висловлювало менша кількість респондентів - близько 75%). Звіти являють собою невпорядковані списки логів, з яких важко виділити інформацію: хто, що, коли і де змінив. Причому 68% респондентів (61% - у дослідженні 2014 року) стверджують, що SIEM-звіти не містять таку важливу інформацію, як про стан об'єкта до та після змін. Це ускладнює відновлення потрібних установок або об'єктів.

Крім цього з'ясувалося, що звіти, що формуються SIEM-системами, дуже важкі в сприйнятті. 65% респондентів регулярно відчувають проблеми з пошуком необхідних даних у звітах - за запитом зовнішніх або внутрішніх аудиторів. Крім того, 63% опитаних (55% - в 2014 році) відзначають труднощі з розбором звітів, а 57% респондентів зізналися, що вручну коригують SIEM-звіти перед передачею даних керівництву або нетехнічних фахівцям.

У результаті замовники зазначають, що заповнити прогалини може додаткове ПЗ. Близько 55% компаній воліють наймати окремих фахівців для обслуговування SIEM-систем і розшифровки звітів. 41% компаній встановлюють додаткове ПЗ, причому більшість з них - 86% - роблять вибір на користь рішень для ІТ-аудиту, відзначаючи, що подібний софт здатний повністю компенсувати недоліки SIEM-систем.

"В останні кілька років SIEM-рішення стали наріжним каменем для організацій, які впроваджують політики безпеки. SIEM-системи широко використовуються у великих організаціях, але, незважаючи на популярність цих рішень, дослідження показують, що користувачі незадоволені високими витратами на впровадження і обслуговування цих рішень. Крім того, SIEM не завжди надають достатню кількість даних для ІТ - безпеки,"- зазначає Алекс Вовк, CEO і засновник Netwrix. -"Компанії шукають більш ефективні та економічно вигідні рішення для управління подіями в ІТ-інфраструктурі. ІТ-аудит може стати ідеальним рішенням, щоб скоротити витрати на моніторинг інфраструктури без шкоди для безпеки".