SOC на open-source или дорогой SIEM: что выбрать бизнесу

Прежде чем сравнивать, договоримся о терминах — без них разговор про безопасность превращается в набор аббревиатур.

• SIEM — программа, которая собирает события со всех ваших систем (серверов, компьютеров, сетевого оборудования) в одно место и ищет среди них подозрительное: необычные входы, попытки доступа, изменения важных файлов.
• SOC (Security Operations Center) — это люди и процессы вокруг SIEM: тот, кто смотрит на тревоги, отделяет ложные от настоящих и реагирует. SIEM без SOC — это камера, в которую никто не смотрит.

Когда говорят «нам нужен мониторинг безопасности», обычно имеют в виду и то, и другое: инструмент плюс кто-то, кто с ним работает.

Промышленные системы класса SIEM (классический пример — Splunk и подобные) традиционно берут плату за объём данных, которые вы в них загружаете, — за гигабайты событий в день. Логика вендора понятна, но для бизнеса это означает неприятное свойство: чем больше вы растёте и чем внимательнее хотите следить за безопасностью, тем больше платите. Годовой ценник промышленного SIEM для среднего бизнеса может быть сопоставим с годовой зарплатой штатного сотрудника — точная сумма зависит от объёма событий и вендора, и это только лицензия, без учёта людей, которые будут с ней работать.

Именно поэтому многие компании оказываются в ловушке «либо дорого, либо никак»: промышленную систему не потянуть, а оставаться без мониторинга рискованно. Открытый стек даёт третий вариант.

Открытые решения (Wazuh как ядро, плюс инструменты сетевого мониторинга, хранения и визуализации) закрывают тот же класс задач, что и проприетарный SIEM: сбор событий, поиск аномалий, контроль целостности файлов, выявление уязвимостей, реакция на инциденты.

Что вы получаете:

• Нет лицензионной платы. Деньги идут на внедрение и сопровождение, а не на право пользоваться софтом.
• Контроль над данными. Мониторинг и события остаются в вашем периметре или в стране — это важно и для доверия, и для требований к данным в Азербайджане. Где разместить — на вашей площадке или у местного подрядчика — решаете вы (см. инфраструктуру и данные).
• Кастомизация. Открытый код можно доработать: декодеры и правила под ваши системы (1С, отраслевые приложения, оборудование), которые закрытая коробка просто не знает. Это и есть основная часть услуги кибербезопасности на open-source.

Чего открытый стек НЕ даёт «из коробки»:

• Готовых сертифицированных настроек под конкретный стандарт — их нужно настраивать под вас.
• Единого вендора с SLA, с которого «спросить за всё». Ответственность берёт на себя ваша команда или подрядчик по сопровождению.
• Магической дешевизны. Об этом — отдельно, потому что это главное заблуждение.

Отсутствие лицензии — это не отсутствие стоимости. Полная стоимость владения мониторингом на открытом стеке складывается из того, о чём забывают на этапе восторга «лицензий нет»:

• Внедрение. Стек из нескольких продуктов (сбор событий, сетевой мониторинг, хранение, визуализация, реагирование) нужно собрать, связать и настроить под вашу инфраструктуру.
• Сопровождение. Обновления, совместимость версий, настройка правил, борьба с ложными тревогами — это постоянная работа, а не «поставил и забыл».
• Экспертиза. Дописывание правил и разбор инцидентов требуют квалификации. Без неё открытый стек даёт видимость, но не зрелую защиту.

Поэтому сравнивать надо не лицензию с нулём, а итоговые затраты за горизонт в несколько лет: в проприетарном варианте это лицензия плюс люди, в открытом — внедрение плюс сопровождение. На больших объёмах данных у открытого стека нет платы за гигабайты, поэтому он чаще оказывается дешевле; на малых объёмах и при отсутствии своей команды разрыв сокращается.

Вопрос 1 — Объём и рост. Много ли событий вы собираете и растёт ли их объём? → Много/растёт → лицензия проприетарного SIEM будет дорожать; открытый стек выгоднее. → Мало и стабильно → разрыв в цене меньше, считайте оба варианта.

Вопрос 2 — Данные и суверенитет. Должны ли данные оставаться в вашем периметре / в стране? → Да → открытый стек на своей площадке или у местного подрядчика — естественный выбор. → Не важно → критерий не работает, решайте по цене и поддержке.

Вопрос 3 — Сопровождение. Есть ли у вас команда на эксплуатацию (или готовы отдать на сторону)? → Есть/отдаём → открытый стек реализуем и выгоден. → Нет и не планируем → либо проприетарное «под ключ», либо открытый стек как управляемая услуга (сопровождение на стороне подрядчика).

Критерий	Проприетарный SIEM	Открытый стек (Wazuh и др.)
Лицензия	Плата за объём событий, растёт	Нет
Где деньги	Лицензия + люди	Внедрение + сопровождение
Где данные	Часто облако вендора (за границей)	Ваш периметр / страна
Кастомизация	В рамках вендора	Дописывается под ваши системы
Поддержка	Один вендор, SLA	Своя команда или подрядчик
Настройки из коробки	Готовые, сертифицированные	Настраиваются под вас
Выгода на больших объёмах	Дорожает	Не зависит от объёма

Тот же сдвиг происходит и в виртуализации: после роста цен на VMware бизнес массово смотрит в сторону открытых платформ — об этом отдельно в статье «Миграция с VMware на Proxmox».

Мы строим открытые решения — но не считаем, что они подходят всем. Проприетарный SIEM оправдан, если совпадает несколько условий: вам нужен один поставщик, с которого можно спросить за весь результат; у вас нет и не планируется команды на сопровождение, а отдавать на сторону вы не хотите; нужны готовые настройки под конкретную сертификацию, где вендор уже аккредитован. В этих случаях лицензия — это плата за снятие с себя ответственности и сложности, и она может быть оправдана. Навязывать открытый стек тому, кто не сможет его сопровождать, — медвежья услуга.

• Что выгоднее — SOC на open-source или промышленный SIEM (Splunk)? Открытый стек выгоднее на больших и растущих объёмах данных и там, где данные должны оставаться в стране. Проприетарный — когда нужен единый вендор с SLA и нет своей команды. Считается по вашим цифрам.
• Есть ли бесплатный SIEM для бизнеса? Бесплатна бывает лицензия (как у Wazuh), но не безопасность в целом: внедрение и сопровождение стоят денег. «Бесплатный SIEM» — главное заблуждение; честно сравнивать полную стоимость владения за несколько лет.
• Что такое Wazuh? Открытая система мониторинга безопасности (SIEM/XDR): собирает события с серверов и компьютеров, находит угрозы, контролирует целостность файлов и уязвимости. Сама лицензия бесплатна, но внедрение и сопровождение — нет; зато код дорабатывается под ваши системы.
• Насколько open-source безопаснее или опаснее платного? Не обязательно опаснее. Открытый код проверяет всё сообщество, а не один вендор. Безопасность определяется качеством настройки и сопровождения, а не ценником.
• Подходит ли это под требования к данным в Азербайджане? Да — открытый стек можно разместить так, что данные остаются в стране, и настроить под требования к защите данных и критической инфраструктуре.