Системите за управление на сигурността и събитията (SIEM) от години са основен инструмент за откриване на подозрителна активност в корпоративните мрежи. Те събират и анализират логове, засичат аномалии и помагат на екипите по киберсигурност да реагират навреме. Въпреки това, новият Picus Blue Report 2025, базиран на над 160 милиона симулации на реални атаки, разкрива тревожна статистика: организациите успяват да засекат само 1 от всеки 7 симулирани пробива.
Това показва критична слабост в реалната ефективност на SIEM решенията и подкопава усещането за сигурност, докато в действителност нападателите вече могат да имат достъп до чувствителни системи, ескалирани привилегии или процеси на изтичане на данни.
Основни причини за неуспехите
1. Проблеми със събирането на логове
Докладът подчертава, че 50% от отказите в откриването са свързани с лог колекцията. Проблеми като липсващи източници на логове, грешни конфигурации на агенти или неправилни настройки водят до пропуски. Без надеждни данни SIEM правилата стават безполезни и не могат да задействат аларми навреме.
2. Грешни или неправилно настроени правила
Дори когато логовете се събират, 13% от проблемите идват от грешно конфигурирани правила. Неподходящи прагове, некоректни референтни набори или прекалено общи правила водят до шум, фалшиви аларми или – още по-опасно – до пропуснати критични събития.
3. Проблеми с производителността
С нарастването на обема данни SIEM системите страдат от тежки заявки и забавени реакции. 24% от пропуските са резултат от натоварени правила, неефективни филтри и бавни заявки, които намаляват способността на екипите да реагират в реално време.
Чести грешки в практиката
Докладът изтъква три повтарящи се проблема:
-
Обединяване на логове (log coalescing) – води до загуба на важни събития.
-
Недостъпни източници на логове – често заради мрежови сривове или блокирани агенти.
-
Липса на ефективни филтри – прекалено широките правила претоварват системата и скриват ключови индикации за атака.
Нуждата от постоянна валидация
Picus Blue Report 2025 подчертава, че SIEM правилата бързо губят актуалност, ако не се тестват срещу реални тактики на атакуващи. Без постоянна валидация организациите рискуват да разчитат на остарели механизми, които не засичат съвременни техники.
Решението е внедряване на Breach and Attack Simulation (BAS) инструменти, които симулират актуални атаки, разкриват „слепите петна“ и позволяват навременно прецизиране на правилата. Само така SIEM може да остане ефективен щит срещу нововъзникващите киберзаплахи.
