Системы управления информацией о безопасности и событиями (SIEM), являющиеся ключевым инструментом обнаружения угроз, в действительности неэффективны. Исследование «Picus Blue Report 2025», основанное на анализе более 160 миллионов симуляций реальных атак, показало, что организации обнаруживают лишь 1 из 7 атак. Этот разрыв в обнаружении предоставляет злоумышленникам возможность незаметно проникать в сети, повышать свои привилегии и похищать данные, создавая ложное чувство безопасности у защищающихся сторон.
Главной причиной сбоев в работе правил обнаружения SIEM являются проблемы со сбором логов. Согласно данным за 2025 год, ровно 50% всех отказов правил связаны именно с этим фактором. Эффективные правила становятся бесполезными, если не получают необходимые данные для анализа. Ключевые проблемы включают пропущенные источники логов, неверно настроенные агенты сбора, некорректные параметры логирования и сбои в пересылке данных, из-за которых информация попросту не достигает SIEM.
Второй по значимости причиной неэффективности SIEM выступают проблемы с производительностью, на долю которых в 2025 году пришлось 24% сбоев. С ростом объемов данных системы часто не справляются с их обработкой в реальном времени, что приводит к задержкам или полному пропуску событий. Это вызвано ресурсоемкими правилами, потребляющими избыточную вычислительную мощность, широкими определениями пользовательских свойств и неэффективными запросами, замедляющими работу всей системы.
Некорректная настройка самих правил обнаружения стала причиной 13% сбоев в 2025 году. Даже при наличии полных логов и достаточной производительности, неверно сконфигурированные правила не способны сработать вовремя или генерируют чрезмерное количество ложных срабатываний. Основные ошибки включают неправильно установленные пороговые значения, некорректно определенные справочные наборы, слабую логику корреляции и использование слишком общих правил, которые создают информационный шум, скрывая настоящие угрозы.
Одной из специфических технических проблем является коалесценция логов. Для экономии дискового пространства SIEM-система сжимает или отбрасывает схожие события, что приводит к потере критически важных данных, необходимых для анализа сложных атак. Наиболее часто этому подвержены логи DNS, прокси-серверов и журналы событий Windows, что делает расследование инцидентов, связанных с этими источниками, неполным.
Две другие распространенные проблемы — недоступность источников логов и неэффективная фильтрация. На недоступность источников, когда логи не передаются в SIEM из-за проблем с сетью, ошибок конфигурации или блокировок брандмауэром, приходится 10% всех сбоев правил. Еще 8% сбоев вызваны задержкой применения экономичных фильтров, из-за чего правила обрабатывают избыточные объемы данных, перегружая систему и замедляя ее реакцию.
Для решения этих проблем необходим переход от статического подхода «установил и забыл» к модели непрерывной проверки. Киберпреступники постоянно совершенствуют свои тактики, техники и процедуры (TTPs), что делает статичные правила устаревшими практически в момент их создания. Непрерывная проверка доказывает, что средства обнаружения эффективны против самых актуальных угроз.
Этот проактивный подход позволяет выявлять слепые зоны и усиливать защиту до того, как произойдет реальная атака. Технологии, такие как симуляция взломов и атак (Breach and Attack Simulation, BAS), позволяют автоматически имитировать поведение злоумышленников для тестирования действующих средств контроля. Регулярная проверка уязвимостей и тонкая настройка SIEM-правил на основе результатов таких симуляций являются обязательным условием для поддержания реального уровня кибербезопасности.
Изображение носит иллюстративный характер
Главной причиной сбоев в работе правил обнаружения SIEM являются проблемы со сбором логов. Согласно данным за 2025 год, ровно 50% всех отказов правил связаны именно с этим фактором. Эффективные правила становятся бесполезными, если не получают необходимые данные для анализа. Ключевые проблемы включают пропущенные источники логов, неверно настроенные агенты сбора, некорректные параметры логирования и сбои в пересылке данных, из-за которых информация попросту не достигает SIEM.
Второй по значимости причиной неэффективности SIEM выступают проблемы с производительностью, на долю которых в 2025 году пришлось 24% сбоев. С ростом объемов данных системы часто не справляются с их обработкой в реальном времени, что приводит к задержкам или полному пропуску событий. Это вызвано ресурсоемкими правилами, потребляющими избыточную вычислительную мощность, широкими определениями пользовательских свойств и неэффективными запросами, замедляющими работу всей системы.
Некорректная настройка самих правил обнаружения стала причиной 13% сбоев в 2025 году. Даже при наличии полных логов и достаточной производительности, неверно сконфигурированные правила не способны сработать вовремя или генерируют чрезмерное количество ложных срабатываний. Основные ошибки включают неправильно установленные пороговые значения, некорректно определенные справочные наборы, слабую логику корреляции и использование слишком общих правил, которые создают информационный шум, скрывая настоящие угрозы.
Одной из специфических технических проблем является коалесценция логов. Для экономии дискового пространства SIEM-система сжимает или отбрасывает схожие события, что приводит к потере критически важных данных, необходимых для анализа сложных атак. Наиболее часто этому подвержены логи DNS, прокси-серверов и журналы событий Windows, что делает расследование инцидентов, связанных с этими источниками, неполным.
Две другие распространенные проблемы — недоступность источников логов и неэффективная фильтрация. На недоступность источников, когда логи не передаются в SIEM из-за проблем с сетью, ошибок конфигурации или блокировок брандмауэром, приходится 10% всех сбоев правил. Еще 8% сбоев вызваны задержкой применения экономичных фильтров, из-за чего правила обрабатывают избыточные объемы данных, перегружая систему и замедляя ее реакцию.
Для решения этих проблем необходим переход от статического подхода «установил и забыл» к модели непрерывной проверки. Киберпреступники постоянно совершенствуют свои тактики, техники и процедуры (TTPs), что делает статичные правила устаревшими практически в момент их создания. Непрерывная проверка доказывает, что средства обнаружения эффективны против самых актуальных угроз.
Этот проактивный подход позволяет выявлять слепые зоны и усиливать защиту до того, как произойдет реальная атака. Технологии, такие как симуляция взломов и атак (Breach and Attack Simulation, BAS), позволяют автоматически имитировать поведение злоумышленников для тестирования действующих средств контроля. Регулярная проверка уязвимостей и тонкая настройка SIEM-правил на основе результатов таких симуляций являются обязательным условием для поддержания реального уровня кибербезопасности.
