1. Необходимость получения событий мониторинга иб от новых источников или применения новых способов сбора (доставки) информации о событиях (специализированных интерфейсов, нетиповых протоколов).

В разрабатываемых российских системах мониторинга ИБ возможность подключения новых источников данных решается в рамках функционального развития этих систем после согласования Заказчиком предлагаемых решений.

Реализовать подобные решения в стандартных импортных продуктах можно силами подрядных организаций за счет создания ПО так называемых «адаптеров», выполняющих функции конвертирования событий мониторинга ИБ из журналов ИС (т.е. новых источников) во внутренний формат продукта. Как правило, стандартные импортные продукты предоставляют возможности написания адаптеров, публикуя для этого API, однако, при создании адаптера для журналов конкретной системы предоставленных возможностей может оказаться недостаточно и возникнет необходимость привлечения производителя продукта. Однако в силу разных причин создать новые адаптеры невозможно.

Проблема получения информации от новых источников в условиях России, когда используется покупное ПО, разработанное с учетом западных стандартов, весьма актуальна. И особенно это актуально для продуктов, применяемых в области ИБ, поскольку по Российскому законодательству в некоторых областях, например, связанных с криптографией, использовать зарубежные аппаратные средства и ПО просто нельзя. В стандартных продуктах не предусмотрена возможность импорта и анализа регистрационных журналов от российских средств ИБ.

2. Необходимость получения дополнительной информации об условиях и ситуации, связанной с возникновением событий (установления контекста событий), вызванная спецификой анализа и оценки событий ИБ, а также адекватной их интерпретацией.

Для установления контекста событий ИБ чаще всего требуется сбор дополнительных событий мониторинга, связанных с этим контекстом. Возможности сбора дополнительных событий мониторинга ИБ, как правило, в принципе не могут быть решены для стандартных импортных продуктов написанием адаптеров, поскольку требуют специальных возможностей, например, перехвата системных вызовов в ОС.

Адаптеры стандартных продуктов предназначены только для изменения формата представления события мониторинга ИБ из штатных журналов приложений ИС, но никак не могут заменить формирование новых событий и при необходимости взять дополнительную информацию, необходимую для контроля и анализа, путем перехвата системных вызовов.

Проблема установления контекста возникает из-за неопределенностей и неоднозначности информации, связанной с событиями, регистрируемыми в штатных журналах регистрации платформ и приложений. А именно, события с одним и тем же кодом генерируются по разным ситуациям, возникшим в системе, программе, приложении. При этом предполагается, что этой информации достаточно, поскольку основным назначением такой записи в журнале регистрации является просто сигнал о нештатной (или штатной) ситуации. Если необходимо в этой ситуации разобраться подробнее, например, найти ошибку или другую причину ее возникновения, то ситуация должна быть повторена, а программное обеспечение при этом должно быть переведено в специальный отладочный режим с подробным протоколированием промежуточных данных, трассировкой исполнения программы или системных вызовов и т. п. Затем отладочная информация (фактически контекст события) анализируется специалистами разработчика ПО на стендах. Таким образом, контекст события при необходимости формируется и анализируется в «лабораторных» условиях.

Но эта схема не подходит для целей безопасности потому, например, что ситуацию, специально созданную злоумышленником, можно, с применением какого-то уникального инструментария, повторить невозможно. Она возникает один раз во время проведения атаки. Весьма примечательно, что цели безопасности не учитываются разработчиками ПО даже в тех случаях, когда дополнительная информация о событии могла бы быть включена без особых затрат.