پرهام، سامانه‌ای برای نظارت و تحلیل تهدیدات امنیتی در ایران

در اواسط دهه ۱۹۹۰، چالش‌های امنیتی ناشی از پیچیدگی و حجم بالای داده‌های شبکه‌ها و سیستم‌های کامپیوتری، سازمان‌ها را بر آن داشت تا سامانه‌ای تحت عنوان SIEM (مدیریت اطلاعات و وقایع امنیتی) توسعه دهند. این سامانه با هدف شناسایی، نظارت و تحلیل تهدیدات امنیتی در شبکه‌های رایانه‌ای شکل گرفت. SIEM با جمع‌آوری و تحلیل لاگ‌ها و اطلاعات از منابع مختلف، به شناسایی الگوهای مشکوک و تهدیدات کمک می‌کند. در ابتدا، این فناوری به‌صورت محدود در سازمان‌ها مورد استفاده قرار می‌گرفت، اما از دهه ۲۰۰۰ به بعد، با افزایش حملات سایبری و پیچیدگی‌های امنیتی، به ابزاری حیاتی برای شرکت‌ها و نهادهای مختلف تبدیل شد. امروزه SIEM یکی از ارکان اصلی امنیت سایبری سازمان‌ها به شمار می‌آید.

در اوایل دهه ۱۳۹۰، شرکت همراه اول گام‌های نخستین برای طراحی و توسعه سامانه SIEM بومی با نام تجاری «پرهام» را برداشت. با توجه به اینکه این فناوری در سطح جهانی نیز نسبتاً نوپا بود، تولید آن در ایران با چالش‌هایی همراه شد و فرآیند تحقیقاتی برای درک دقیق آن حدود دو سال به طول انجامید. درنهایت، در سال ۱۳۹۲، این محصول عملیاتی شد.

ورودی‌های این سامانه در ابتدا به‌صورت لاگ‌های خام (Log) دریافت می‌شوند که پس از پردازش، به رویدادهای امنیتی (Event) تبدیل می‌شوند. برای مثال، ممکن است از نسخه‌ای از نرم‌افزار استفاده شود که آسیب‌پذیری بالایی دارد یا یک فیلترشکن نصب شده باشد که می‌تواند خطرات امنیتی به دنبال داشته باشد. تمامی این داده‌ها ابتدا به‌صورت لاگ خام به سامانه SIEM ارسال می‌شوند. به‌عبارت‌دیگر، هر تجهیز یا سیستمی که در شبکه فعالیت می‌کند، لاگ‌های متعددی تولید کرده و این داده‌ها پس از پردازش در SIEM به رویدادهای امنیتی تبدیل می‌شوند.

در سال ۱۳۹۶، این سامانه بازنویسی شد و فرآیند توسعه آن در سال ۱۴۰۰ ادامه یافت. این بازنویسی‌ها بر اساس نیازهای فنی سازمان‌ها صورت گرفت تا سامانه بیشترین کارایی را در شناسایی و مقابله با تهدیدات داشته باشد.

مزایای سامانه پرهام

SIEM یک محصول جدید است که نیازمندی‌های خاص خود را دارد. شرکت‌های داخلی که این سامانه را به‌صورت بومی توسعه می‌دهند، به‌خوبی با ویژگی‌ها و قابلیت‌های آن آشنا هستند و می‌توانند تغییرات لازم را به‌سرعت و با انعطاف‌پذیری بالا اعمال کنند. از سوی دیگر، توسعه و نگهداری این سامانه‌ها در داخل کشور هزینه کمتری نسبت به نمونه‌های خارجی دارد. علاوه بر این، گسترش قابلیت‌ها در سامانه‌های بومی به‌مراتب ساده‌تر و مقرون‌به‌صرفه تر است.

در خصوص مقایسه این سامانه با نمونه‌های مشابه خارجی، تاکنون هیچ نهاد تحقیقاتی، بررسی فنی جامعی میان سامانه‌های داخلی و خارجی انجام نداده است. اگرچه برخی مقایسه‌های محدود صورت گرفته، اما نتایج آن‌ها منتشر نشده است که این موضوع موجب تردید برخی افراد در مورد کارایی سامانه‌های بومی شده است.

بااین‌حال، هزینه یکی از مهم‌ترین فاکتورها در این مقایسه‌ها است. سامانه‌های داخلی، به‌ویژه پرهام، از نظر هزینه بسیار مقرون‌به‌صرفه تر از نمونه‌های خارجی هستند. تفاوت هزینه‌ها به حدی است که نمی‌توان آن را نادیده گرفت؛ اما چالشی که شرکت‌های داخلی با آن روبه‌رو هستند، رقابت با سامانه Splunk، یکی از برترین محصولات SIEM در جهان، است. برخی سازمان‌های ایرانی از نسخه‌های کرک‌شده این نرم‌افزار استفاده می‌کنند که رقابت را برای شرکت‌های داخلی دشوارتر می‌کند، چراکه Splunk با امکانات گسترده و توانمندی‌های پیشرفته‌ای که دارد، استانداردهای بالایی را ارائه می‌دهد.

نرم‌افزارهای کرک‌شده، هرچند از نظر هزینه در نگاه اول جذاب به نظر می‌رسند، اما آسیب‌های امنیتی متعددی را به سازمان‌ها وارد می‌کنند و ممکن است هزینه‌های پنهانی در سطح شبکه ایجاد کنند.

از سوی دیگر، یکی از مزایای کلیدی سامانه‌های بومی، مدیریت کامل آن‌ها توسط تیم‌های داخلی است. این امر باعث می‌شود هماهنگی میان ماژول‌ها در زمان به‌روزرسانی حفظ شده و از ایجاد ناهماهنگی یا رخنه‌های امنیتی جلوگیری شود. همچنین، محصولات بومی معمولاً از پشتیبانی قوی‌تری برخوردار هستند، چراکه تیم‌های فنی داخلی به‌راحتی می‌توانند مشکلات مشتریان را برطرف کنند. در مقابل، در مورد محصولات خارجی، به دلیل تعداد بالای کاربران، دریافت پشتیبانی دشوارتر است.

بنابراین، علاوه بر مقرون‌به‌صرفه بودن و کاهش چالش‌های به‌روزرسانی، پشتیبانی قوی محصولات بومی یکی دیگر از دلایلی است که سازمان‌ها را به استفاده از چنین سامانه‌هایی ترغیب می‌کند. خوشبختانه، سامانه پرهام تاکنون در سطح عملیاتی پاسخگو بوده و در وزارتخانه‌ها، نهادهای کشوری و شرکت‌های بیمه‌ای عملکرد موفقی داشته است.