جلوگیری از خروج ارز با استفاده از محصول کاملا بومی پرهام در حوزه امنیت سایبری

به گزارش خبرنگار سیتنا، پرهام «سامانه مدیریت جامع رویدادهای امنیتی» محصولی از شرکت امن افزار گستر شریف است که به‌عنوان یک SIEM وظیفه تحلیل رویدادهای امنیتی و پاسخگویی به آن‌ها را برعهده دارد. ماموریت اصلی پرهام کمک به کاهش میانگین زمان و افزایش دقت در تشخیص و پاسخگویی به تهدیدات امنیتی است. پرهام فرایند اصلی مرکز عملیات امنیت یعنی مدیریت چرخه عمر تهدید را سریع و دقیق انجام می‌‏دهد.

به گفته تیم امن افزار گستر شریف، سال 1390 بررسی‌ها در سبد محصولات بومی امنیت سایبری نشان داد محصول SIEM هنوز تولید داخلی نشده است. نیاز به این محصول با توجه به گسترش روز افزون حملات سایبری و لزوم مدیریت یکپارچه حملات بیش از پیش حس می‌شد. در سال 1391 مطالعات و تحقیقات پیرامون این محصول در شرکت امن افزار گشتر شریف شروع شد و فرایند تولید محصول نیز از همان ابتدا آغاز شد. سال 1392 نمونه اولیه محصول به همراه اول ارائه شد و پس از تایید آن مجموعه تا سال 1394 مراحل بلوغ محصول طی شد. در سال 1396 محصول پرهام وارد بازار غیر همراه اول شد و در وزارت ورزش و جوانان، سازمان میراث فرهنگی و برخی زیرمجموعه های وزارت ارتباطات و فناوری اطلاعات مشتمل بر سازمان فضایی، پژوهشکده فضایی، سازمان فناوری اطلاعات و دانشکده پست و مخابرات به کار گرفته شد. همچنین طی سال‌های اخیر با موسساتی همچون بانک آینده، سازمان بورس، سازمان هواپیمایی کشوری، راه آهن جمهوری اسلامی ایران، وزارت ارشاد، سازمان ثبت احوال و تامین اجتماعی همکاری به عمل آمده است.

جلوگیری از خروج ارز

تیم امن افزار گستر شریف می‌گوید: محصول پرهام کاملا بومی است پس در نتیجه برای تولید و بهره برداری از این محصول خروج ارز انجام نشده است. از طرفی با استفاده از محصولات بومی، از خروج ارز به واسطه خرید محصول خارجی بی نیازی حاصل می شود. به عنوان یک مثال ساده برای رفع نیازمندی یک کسب و کار کوچک نمونه SPLUNK حدود 70 هزار دلار با نرخ امروز 35 میلیارد ریال هزینه دارد که پرهام با همان قدرت پردازش حدود 5 میلیارد ریال هزینه دارد و توجه کنیم این 5 میلیارد ریال در نهایت برای آبادانی میهن عزیزمان هزینه شده است.

همچنین در سالیان اخیر اسپلانک اقدام به انتشار لایسنس رایگان (share license) کرده است که باید توجه داشته باشیم زمانی که یک محصول رایگان است باید به آن شک کرد، زیرا تا به امروز همواره رایگان به معنای نفوذ بوده است و تجربه در این حوزه نشان می‌دهد نباید از محصولات رایگان در این حوزه حساس استفاده کرد.

سناریو تولید محصول

به گزارش سیتنا، گروه امن افزار گستر شریف می‌گویند: تیم تولید پرهام متشکل از نخبگان و فرهیختگان دانشگاهی این حوزه است. تیم با قدرت فنی بسیار بالا کنار هم چیده شده است تا در نهایت محصولی در خور و شایسته تولید شود. فرایند تولید محصول عموما با نیازسنجی شروع شده و در ادامه با توسعه محصول، تست سرویس ها، توسعه بسته‌های به‌روزرسانی، تست در محیط آزمایشگاهی (تست آلفا)، تست در محیط واقعی غیرعملیاتی (تست بتا) و در نهایت با پیاده سازی آن سرویس در محیط کارفرما به سرانجام می‌رسد. در این مرحله فرایند پشتیبانی فنی شروع می‌شود که عموما منجر به نیازسنجی شده و اغلب نیازمندی‌ها از همین فرایند پشتیبانی شروع می‌شود. به این ترتیب فرایند تولید و بلوغ محصول یک فرایند همیشگی است که همواره در حال انجام است.

مهمترین ویژگی پرهام بومی بودن آن است که با تیم تولید اجازه می‌دهد روند توسعه محصول را بر اساس نیاز مشتری تعیین و نسبت به تولید محصول با کارایی بیشتر اقدام کنند. داشتن گواهینامه‌های امنیتی افتا در حوزه تولید محصول و همچنین در حوزه پشتیبانی محصول نیز اطمینان از محصول را بالا برده است.

مقایسه با سامانه های دیگر

برای طراحی و پیاده سازی یک محصول کارآمد، از همان ابتدا در کنار مطالعات فنی، محصولات مشابه خارجی نیز بررسی شدند. در همین راستا محصول Arcsight و Splunk به عنوان محصولات پرکاربرد خارجی بررسی شدند.

با توجه به ارتباط محیط عملیاتی، نمونه‌های مشابه و تحقیقات تیم تحقیق و توسعه به مرور زمان ویژگی‌های پرهام به سه دسته تقسیم شده است: ویژگی‌هایی که نیازمندی کارفرما بوده اند، ویژگی‌هایی که نقاط قوت محصولات خارجی بوده اند و در پرهام بومی‌سازی شدند و ویژگی‌هایی که حاصل تحقیقات تیم تحقیق و توسعه بوده اند.

این مجموعه ویژگی‌ها باعث شده است که در بازار با اشتباه محصول پرهام یک نمونه فارسی سازی شده از splunk تلقی گردد که این قطعا اشتباه است، زیرا ویژگی‌های زیادی مانند همبسته سنجی خودکار، نرمال‌سازی تو در تو، لیست، پرس و جوهای وارسی و ... در پرهام وجود دارند که اسپلانک از آنها بی بهره است. تنها وجه اشتراک اسپلانک و پرهام ساختار همبسته سنجی مبتنی بر کوئری دو محصول و سطح پوشش کوئری‌ها(نه به معنای یکسان بودن دستورات، بلکه به معنای رفع نیازمندی‌های مشابه) است که دلیل آن تبدیل شدن اسپلانک به یک استاندارد غیر رسمی برای کارایی یک SIEM است به گونه ای که در تمامی دوره‌های امنیتی داخل و خارج کشور از ابزار اسپلانک استفاده می‌شود. شباهت ساختار همبسته سنجی بین پرهام و اسپلانک به راهبران و مدیران امنیت که به تازگی وارد این حوزه شده اند این امکان را می‌دهد سریعا با ساختار پرهام تطبیق پیدا کرده و از آن استفاده کنند.

در همین راستا در سیتنا با یکی از کارشناسان تیم امن افزار گستر شریف به گفت‌و گو نشستیم که مشروح آن در ذیل آمده است:

آیا پرهام لایسنس بین المللی دارد؟

خیر، لایسنس بین المللی نداریم.

 آیا پرهام قابلیت استفاده در خارج از کشور را دارد؟

بلی، با توجه به زبان یکپارچه انگلیسی به کار رفته برای محصول و همچنین استفاده از نمادها و الگوی طراحی رایج در طراحی  محصولات مشابه، می‌توان از محصول در خارج از کشور استفاده کرد.

آیا پرهام توانایی رقابت با نمونه های بین المللی را دارد؟

بلی، پرهام مطابق با محصولات مشابه خارجی طراحی شده و همواره سعی شده ویژگی‌های به روز یک SIEM را داشته باشد. در نتیجه در صورت مقایسه پرهام با محصولات مشابه خارجی کاستی ساختاری مشاهده نخواهد شد و پرهام در سطح بین المللی نیز توانایی رفع نیازمندی‌های کارفرما را خواهد داشت.

مزایا و معایب محصول پرهام در مقایسه با نمونه‌های مشابه خارجی چیست؟

در مقام مقایسه با رتبه یک محصول SIEM که همان اسپلانک است، از نظر ویژگی های عملیاتی پرهام کاستی خاصی ندارد و تنها در زمینه ذخیره سازی لاگ، در مقایسه با اسپلانک به فضای ذخیره سازی بیشتری نیاز دارد(حدود ۲۰ درصد) اما به دلیل قابلیت پیاده سازی توزیع شده، این کاستی تا حدی جبران شده است. لازم به ذکر است فیچرهایی مثل دریافت IOCهای بومی، نرمال سازی لاگ‌های پیچیده و همبسته سنجی خودکار و در پرهام وجود دارند که اسپلانک به صورت پیش فرض از این ویژگیها بی بهره است و برخی از این فیچرها با هزینه بسیار بالا فعال می شوند.

مزایا و معایب در برابر نمونه های داخلی چیست؟

در رابطه با مزایا و معایب در مقابل نمونه‌های داخلی به دلیل دانش ناکافی و عدم انتشار جزئیات محصولات توسط شرکت‌ها، نمی‌توان مقایسه جامعی داشت و امکان دارد حقی از شرکت های همکار ضایع شود، اما محصول پرهام آمادگی کامل دارد تا این ارزیابی توسط شرکتی بی طرف انجام شود.

انتهای پیام

گزارش از زهرا طاهری